Corrige el error 'x-hub-signature-256' faltante en @octokit/webhooks

¿Tu webhook de GitHub devuelve error 400 por cabeceras faltantes? Aprende las causas más comunes y cómo solucionarlas paso a paso. Incluye consejos de debug.

3 jul 2026 • 3 min de lectura • Equip Q2BSTUDIO

Causas frecuentes y soluciones del error 400 en webhooks

Cuando se integra un manejador de webhooks de GitHub con la librería @octokit/webhooks, uno de los errores más comunes al recibir las notificaciones es que el servidor responde con un código 400 y un mensaje que indica que faltan las cabeceras x-hub-signature-256. Este problema suele aparecer justo después de configurar el webhook por primera vez, pero también puede manifestarse en entornos de producción si no se revisan ciertos detalles de la infraestructura. La causa raíz casi siempre está relacionada con la ausencia de un secreto compartido entre GitHub y el endpoint que procesa los eventos. Sin ese secreto, GitHub no firma las entregas y, por tanto, omite las cabeceras de firma que la librería espera. La solución inmediata es definir un valor fuerte y aleatorio en la configuración del webhook (dentro del repositorio o de la organización) y pasar exactamente ese mismo secreto al constructor de Webhooks en el código. Una vez hecho esto, es recomendable reenviar una entrega anterior desde el panel de GitHub y verificar que la cabecera X-Hub-Signature-256 ya aparece en la petición.

No obstante, este error no siempre se debe a la falta de secreto. A veces, la petición que llega al servidor no proviene realmente de GitHub, sino de herramientas de monitorización, tests locales con curl o incluso de escáneres de seguridad que golpean el mismo endpoint. Las entregas legítimas de GitHub incluyen un User-Agent que comienza con GitHub-Hookshot/ y un identificador único X-GitHub-Delivery. Si se necesita probar localmente, lo más fiable es copiar la carga útil y las cabeceras completas desde la sección Recent Deliveries del webhook, o simplemente usar la opción de reenviar. Otra fuente común del problema son los proxies, gateways o adaptadores serverless que filtran o renombran cabeceras no estándar como las que empiezan por X-. En esos casos, un registro detallado de las cabeceras que llegan hasta el controlador puede revelar si la cabecera se pierde en algún punto intermedio. Por ejemplo, servidores nginx con reglas que ignoran guiones bajos, o API Gateways con listas blancas de cabeceras, pueden eliminar x-hub-signature-256 antes de que llegue al código de la aplicación.

También es posible que el problema resida en una versión antigua de @octokit/webhooks que aún espera la cabecera antigua x-hub-signature (SHA-1). Las versiones modernas requieren la variante SHA-256, y GitHub envía ambas cuando el secreto está configurado, por lo que la solución práctica sigue siendo establecer el secreto y, además, actualizar la dependencia a la última versión compatible. Otro aspecto a tener en cuenta es la ruta donde se monta el middleware: si se usa un enrutador que también atiende otras peticiones, cualquier solicitud no relacionada con el webhook generará ese error 400. Lo más limpio es asignar una ruta exclusiva y dedicada al endpoint del webhook, evitando así falsos positivos en los logs.

Para las empresas que desarrollan aplicaciones a medida y necesitan integrar notificaciones en tiempo real desde plataformas como GitHub, resolver este tipo de errores de firma es solo uno de los muchos desafíos técnicos que pueden surgir en la comunicación entre servicios. En Q2BSTUDIO, como empresa de desarrollo de software a medida, abordamos estos problemas con un enfoque integral que combina buenas prácticas de ciberseguridad —como la verificación de firmas y la gestión segura de secretos— con una arquitectura robusta desplegada sobre servicios cloud AWS y Azure. La monitorización continua de los webhooks y la automatización de respuestas ante fallos forman parte de las soluciones de inteligencia artificial y servicios inteligencia de negocio que ofrecemos, permitiendo a nuestros clientes detectar incidencias de forma proactiva y mantener la integridad de sus flujos de datos. Además, cuando se trata de analizar el comportamiento de los eventos, herramientas como Power BI ayudan a visualizar métricas de entregas, mientras que los agentes IA y la ia para empresas pueden actuar sobre patrones repetitivos para optimizar procesos. En definitiva, dominar la configuración de los webhooks de GitHub es un paso pequeño pero esencial para garantizar la fiabilidad de las integraciones que sostienen las aplicaciones a medida de cualquier organización.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.

Live Chat