¿Es n8n conforme al RGPD? El alojamiento propio marca la diferencia
n8n puede funcionar de forma conforme al RGPD, pero no lo es automáticamente. Qué distingue la nube del alojamiento propio y dónde los flujos de trabajo pierden datos.
Los CVEs activos de n8n y la advertencia de CISA 2026 afectan a todas las instancias autohospedadas. Qué se ve afectado y cómo parchear ahora.

Quien aloja n8n por sí mismo, parchea por sí mismo, o simplemente no lo hace. Precisamente eso hace que las vulnerabilidades de seguridad de n8n 2026 sean un riesgo real: la agencia estadounidense de ciberseguridad CISA ha incluido por primera vez una vulnerabilidad de n8n en su catálogo de vulnerabilidades de seguridad explotadas activamente, mientras que en paralelo se han conocido varios CVEs críticos adicionales con la máxima calificación.
Para las empresas que operan n8n en su propia infraestructura para mantener el control sobre sus datos, este no es un problema teórico. Este artículo muestra qué vulnerabilidades de seguridad específicas de n8n se ven afectadas en 2026, por qué el alojamiento propio desplaza la responsabilidad en lugar de resolverla, y qué debe hacer ahora.
CISA ha CVE-2025-68613 el 11 de marzo de 2026 en su Catálogo de Vulnerabilidades Explotadas Conocidas fue incluida después de que surgieron evidencias de explotación activa, la primera vulnerabilidad de n8n en este catálogo. La brecha permite a los atacantes autenticados ejecutar código con los derechos del proceso n8n a través de una expresión de flujo de trabajo manipulada (CVSS 9,9).
Las versiones afectadas de n8n son desde 0.211.0 hasta antes de los estados parcheados 1.120.4, 1.121.1 y 1.122.0; el parche en sí apareció ya en diciembre de 2025. Las agencias federales estadounidenses debieron actualizar según la orden de CISA hasta el 25 de marzo de 2026. Según cifras de la Shadowserver Foundation, a principios de febrero de 2026 había más de 24.700 instancias de n8n sin parches abiertas en la red, más de 7.800 de ellas en Europa (Fuente: The Hacker News).
Ni8mare (CVE-2026-21858) alcanza con CVSS 10,0 el grado de severidad más alto y permite a atacantes no autenticados leer archivos arbitrarios en el servidor a través de comprobaciones faltantes de Content-Type en flujos de trabajo de formularios, lo que puede llegar a sesiones de admin falsificadas y ejecución de código completa (Fuente: Rapid7). Las versiones afectadas son desde 1.65.0 hasta 1.120.x, la brecha está parcheada desde 1.121.0.
Poco antes se conoció N8scape (CVE-2025-68668, CVSS 9,9): un escape de sandbox en el nodo de código Python, a través del cual usuarios autenticados con derechos de flujo de trabajo pueden ejecutar comandos del sistema en el host. Ambas brechas muestran un patrón: donde los flujos de trabajo pueden aceptar archivos o ejecutar código, el modelo de seguridad respectivo se convierte en una superficie de ataque. Incluso la corrección original para CVE-2025-68613 fue posteriormente eludida con CVE-2026-25049 (CVSS 9,4) nuevamente, una indicación de que un único ciclo de parches no es suficiente aquí.
Con una instancia de n8n autohospedada, usted realiza completamente la gestión de parches por sí mismo, mientras que n8n Cloud reproduce automáticamente las actualizaciones de seguridad. Precisamente este control es la razón por la que muchas pequeñas y medianas empresas y municipios eligen el alojamiento propio cuando los datos de clientes o procesos administrativos se ejecutan a través de los flujos de trabajo.
Esta libertad tiene un precio: un servidor n8n que nadie supervisa activamente se convierte en un riesgo en sí mismo, independientemente de lo bien concebidos que estén los flujos de trabajo individuales. Muchas empresas instalan n8n una vez y luego lo tratan como una herramienta terminada, sin una vigilancia continua de los estados de versión o boletines de seguridad. Exactamente esa es la diferencia entre control y negligencia.
Para clientes cuyos n8n-instancias que mantenemos, una ventana de parches fija es parte de las operaciones en curso, no una reacción ad hoc después del próximo titular. Después del conocimiento de CVE-2025-68613, primero verificamos los estados de versión en instancias mantenidas y actualizamos oportunamente los sistemas afectados, además de observar accesos inusuales a flujos de trabajo basados en formularios.
Esto también incluye gobernanza en pequeña escala: quién puede crear o cambiar flujos de trabajo, qué nodos pueden ejecutar código o aceptar archivos, y dónde el acceso externo necesita además VPN o reverse proxy con su propia autenticación. En nuestra Consultoría de IA esto no es un capítulo adicional, sino una parte integral de cada automatización que entra en producción.
Cinco pasos se pueden implementar en la mayoría de las configuraciones dentro de un día:
Quien marque estos puntos hoy cierra las brechas críticas actualmente conocidas. El tema no se resuelve para siempre de esta manera, porque la situación de amenaza cambia demasiado rápido, pero la instancia entonces no será vulnerable a los vectores de ataque conocidos en 2026.
n8n Cloud se actualiza continuamente por n8n mismo, los CVEs mencionados afectan principalmente en la práctica a instancias autohospedadas que no fueron actualizadas oportunamente a las versiones parcheadas.
Encontrará el número de versión en la configuración de n8n o en el pie de página de la instancia. Compárelo con los estados de parches de los Boletines de Seguridad de la Comunidad n8n allí, n8n enumera cada brecha con versiones afectadas y parcheadas individualmente.
Restrinja el acceso temporalmente a VPN o una lista blanca de IP, deshabilite los flujos de trabajo de formularios accesibles públicamente, y monitoree los registros de acceso más de cerca que de costumbre. Esto no reemplaza una actualización, pero reduce la ventana de tiempo en la que una brecha conocida permanece explotable.
Sí. Verificamos el estado de versión, el historial de parches y la protección de acceso de instancias existentes de n8n-instalaciones y asumimos opcionalmente la gestión de parches en curso, para que mantenga el control sobre su automatización sin tener que rastrear cada alerta de seguridad usted mismo.
NordFlux crea empleados digitales para las organizaciones: automatizaciones y agentes KI que asumen el trabajo repetitivo. Usted mantiene el control.
n8n puede funcionar de forma conforme al RGPD, pero no lo es automáticamente. Qué distingue la nube del alojamiento propio y dónde los flujos de trabajo pierden datos.
En un breve análisis técnico, verificamos su versión de n8n, su gestión de parches y la protección externa para que mantenga el control sobre sus datos también desde el punto de vista de la seguridad.