Webhooks de producción rechazados con 401

Hola equipo! Necesitamos ayuda para diagnosticar la autenticación de webhooks en producción, porque las requests entrantes no están alineando con el esquema de seguridad documentado.

Contexto:
Endpoint: https://mercantis.io/api/rebill/webhook
Content-Type procesado: application/json
Implementamos validación HMAC SHA-256 según docs (x-rebill-signature + secreto compartido)

• También probamos allowlist de IPs (34.225.22.63, 3.221.139.192)

Comportamiento observado:
Las requests entrantes no incluyen x-rebill-signature (ni headers equivalentes de firma)
IP de origen observada en logs: 52.158.209.200 (fuera de la allowlist documentada)

• Resultado: 401 en el 100% de los intentos (no es intermitente)

Importante:

• Esta integración venía funcionando correctamente.

• No rotamos API keys ni cambiamos la URL del webhook.

¿Nos pueden confirmar el contrato de autenticación vigente para webhooks en producción?
Si lo necesitan, podemos compartir request IDs y timestamps exactos de entregas fallidas.