1 puntos por GN⁺ 2025-07-07 | 1 comentarios | Compartir por WhatsApp
  • El operador de myNoise resume que sufrió cientos de miles de intentos de inyección de código y un ataque de descarga masiva de archivos de sonido; el servidor resistió, pero perdió tiempo, energía y tranquilidad.
  • Después de fracasar en la intrusión debido a la estructura hecha a medida de myNoise, el atacante cambió de estrategia y empezó a desperdiciar ancho de banda mediante la descarga repetida de todos los archivos de sonido.
  • Para myNoise, que planta árboles cada año para compensar el uso de energía de sus visitantes, un flood deliberado del servidor se siente no como simple tráfico, sino como desperdicio y daño.
  • El operador tuvo que usar el tiempo que dedicaría a crear nuevos sonidos y ambientes para diagnosticar el problema y aplicar defensas; las mejoras de seguridad posteriores incluyen honeypots y una estrategia de respuestas lentas.
  • Tras el incidente, cientos de usuarios respondieron con apoyo, consejos técnicos, donaciones o nuevas donaciones, y el operador afirmó que seguirá ofreciendo myNoise como un pequeño refugio de paz para quienes lo necesitan.

Lo que realmente hizo el ataque

  • myNoise se opera como un intento de crear un lugar positivo dentro de un internet caótico.
  • Hace unos días, un visitante o actor hostil envió cientos de miles de solicitudes para intentar inyectar código.
    • El intento fracasó.
    • Es posible que ayudara el hecho de que myNoise no sea un CMS común, sino una estructura escrita desde cero.
  • Tras fracasar en la intrusión, el atacante cambió de estrategia y empezó a descargar repetidamente todos los archivos de sonido.
    • Se percibió como un ataque destinado a desperdiciar el ancho de banda del servidor.

Por qué el desperdicio de ancho de banda se sintió más grave

  • El operador de myNoise planta árboles cada año para compensar el uso de energía de los visitantes del sitio.
    • Reconoce que esa metodología puede ser cuestionada.
    • Lo central es la intención de actuar de forma responsable.
  • Un flood deliberado del servidor se sintió no como un simple problema técnico, sino como algo más cercano al desperdicio y el daño.

Lo que le quitaron antes que al servidor

  • El servidor no se cayó, pero el ataque le quitó tiempo y energía al operador.
    • El tiempo que iba a destinarse a crear nuevos sonidos y ambientes tranquilos se fue en entender el problema.
    • También se sumó el trabajo de detener el ataque y preparar medidas de protección futuras.
  • El ataque también alteró la tranquilidad que le quedaba al operador.
    • Queda como un ejemplo de tiempo perdido en defensas que no serían necesarias en un mundo utópico.

Tristeza e impotencia

  • En el centro del texto no está tanto el ataque en sí, sino la tristeza y la impotencia que volvió a despertar.
  • Compara con la ley de la entropía el desequilibrio de que romper algo requiere menos energía que crearlo.
  • También lo vincula con la experiencia de hace dos años, cuando, tras un problema de salud, la enfermedad se apoderó rápidamente de su cuerpo y la recuperación tomó mucho tiempo.
    • Por lo general, la enfermedad no es un acto intencional de alguien.
    • Cuando otra persona causa daño deliberadamente, queda una emoción completamente distinta.

La historia de la paloma y una pequeña nota positiva

  • El operador cuidó durante semanas a una paloma joven que había caído del nido y estaba gravemente herida, alimentándola con una jeringa.
    • Ahora vuela libremente por el barrio, pero sigue visitándolo.
    • Afirma que este tipo de pequeños cambios positivos lo hacen feliz.
  • Al mismo tiempo, dice que le cuesta dejar de pensar que alguien a quien no le gustan las aves podría algún día dañar aquello que ellos salvaron.

Refuerzos de seguridad tras el ataque

  • Durante las semanas posteriores al ataque, se concentró en reforzar la seguridad del servidor de myNoise.
    • El ataque no logró entrar al servidor.
    • Pero reveló que la configuración existente podía permitir cientos de miles de intentos de inyección de código.
    • Considera que, mientras más intentos haya, mayor es la posibilidad de que alguno tenga éxito algún día.
  • myNoise se mudó recientemente a un VPS administrado y no tiene acceso root, es decir, permisos completos de administrador.
    • No podía usar herramientas estándar de detección de intrusiones ni firewalls avanzados.
    • En su lugar, creó medidas de seguridad personalizadas para myNoise.
    • Considera que no documentarlas públicamente funciona como una capa adicional de protección.
  • La nueva estrategia incluye honeypots.
    • Si un actor malicioso interactúa con la trampa, queda bloqueado de inmediato.
    • También implementó una estrategia para hacer tiempo, entregando datos muy lentamente a agentes maliciosos.
    • Es una forma de enviarlos a otro sitio web después del bloqueo.
  • Dentro de las carpetas prohibidas también preparó un laberinto interminable de subpáginas y enlaces.
    • Es una estructura que crece exponencialmente cuanto más se explora.
    • Funciona tanto como mecanismo para ralentizar intrusos como Easter egg para usuarios curiosos.
    • Si caen en un honeypot antes de llegar al laberinto, pueden quedar bloqueados del sitio.

La respuesta de la comunidad

  • Después del artículo anterior, cientos de usuarios se pusieron en contacto.
    • Llegaron mensajes sobre lo importante que es myNoise en su vida diaria.
    • También llegaron consejos técnicos, donaciones y nuevas donaciones.
  • El ataque generó más apoyo que el lanzamiento habitual de un nuevo soundscape.
  • El operador dice que este incidente le hizo sentir con más fuerza el vínculo y el sentido de comunidad entre myNoise y sus usuarios.
    • Le recordó la gran respuesta que recibió cuando estuvo hospitalizado hace dos años.
  • La comunidad de myNoise se describe como un entorno amable, servicial y positivo.
    • Considera que el sonido y la música conectan a las personas.

Lo que seguirá haciendo

  • El operador dice que seguirá plantando árboles, creando sonidos, ayudando a palomas jóvenes y ofreciendo el pequeño refugio de paz llamado myNoise a quienes lo necesitan.
  • Propone crear más cosas juntos y superar en número a quienes eligieron destruir.
  • Concluye que lo que le da sentido a la vida es crear, no destruir.

1 comentarios

 
GN⁺ 2025-07-07
Opiniones de Hacker News
  • Hace poco tuve que vivir en un edificio muy ruidoso, y poner ruido blanco ecualizado adecuadamente por los parlantes me ayudó a tapar el ruido y a mantener un mínimo de salud mental y sueño.
    La app myNoise no es vistosa, pero cumple sin vueltas lo que promete y funciona bien en varios dispositivos.
    Creo que cuando la compré no sabía quién la había hecho, pero gracias a este artículo ahora le veo la cara a la persona detrás de la app.
    Cuando alguien te ataca, se quiebra la confianza en las personas y eso se vuelve un trauma mayor; como resultado, puedes volverte más defensivo y desconfiado, o al contrario, terminar siendo agresivo con otros y rompiendo su confianza.
    No estoy defendiendo al atacante, pero para cortar este círculo vicioso habría que verlo como un problema de salud mental a largo plazo que atraviesa generaciones.

    • Tuve problemas de ruido durante mucho tiempo por el inquilino del piso de arriba, y aunque me quejaba periódicamente con la administración, solo recibía empatía y casi ninguna medida concreta.
      Después creé un atajo de iOS que enviaba un correo estandarizado al propietario cada vez que le decía a Siri “Loud neighbors”, y 3 o 4 correos por semana resultaron ser sorprendentemente efectivos.
      Creo que no es lo mismo calmarte un poco en la oficina y mandarte de vuelta que tener que responder un correo cada dos días.
      Claro que no es una estrategia que sirva para todas las situaciones, pero espero que todo se vuelva tranquilo y pacífico.
  • Desde mi perspectiva como alguien que trabaja en pentesting/bug bounty, entiendo que para el dueño sea frustrante, pero esto se lee como ruido normal de Internet.
    Incluso en el peor caso, parece apenas que alguien abrió Burp Suite y le dio ejecutar sobre el sitio web.
    Muchas herramientas comerciales ejecutan este tipo de ataques en masa por defecto, y algunas empresas SaaS incluso lo ofrecen directamente como producto.
    Todo Internet está siendo escaneado constantemente, y hay muchos escáneres que, al encontrar sitios web, les corren automáticamente conjuntos de ataques.
    No digo que esté bien, pero esta es la realidad en la que vivimos, y no creo que haya que tomarlo como algo personal.

    • Si te ataca un tiburón, tampoco es algo personal, pero aun así se vuelve un trauma.
      Además, el tiburón no fue creado por un hacker de ética dudosa.
      No entiendo por qué habría que minimizar el dolor legítimo de esta persona, y hacerlo me parece bastante grosero.
  • Los hackers básicamente mataron https://glslsandbox.com.
    Alguien lo inundó de spam y, como no había tiempo para lidiar con eso, lleva cerrado alrededor de un año y medio.
    Existen sitios que hacen algo parecido, como Shadertoy, pero es realmente triste que el proyecto de alguien termine arruinado de esta manera.
    Como los problemas de denegación de servicio afectan a servicios gratuitos, en mis proyectos trato de evitar enfrentarlos directamente, por lo general escondiéndome detrás de Cloudflare.
    Siempre me irrita esa actitud hacker de “si puedo romper tus cosas, es culpa tuya; debiste haberlas construido mejor”.
    También se pueden romper ventanas, puertas y cuerpos, pero el solo hecho de que sea posible no convierte a la víctima en responsable.
    Aun así, sé que no podemos librarnos de esa gente.

    • Los sistemas físicos y los sistemas de información son distintos.
      Los sistemas de información pueden construirse para que no se puedan vulnerar, pero los sistemas físicos no.
      Los sistemas físicos son inherentemente más seguros gracias a la localidad, y también pueden beneficiarse en cierta medida de la seguridad por ocultamiento.
      Si conectaste un sistema de información débil a una red global con la que cualquiera puede interactuar y alguien encontró la forma de romperlo, vale la pena mirar las debilidades sistémicas en vez de enojarse con un atacante en particular.
    • La última parte es totalmente cierta.
      Soy una persona grande: 6 pies 3 pulgadas, 260 libras, varios Ironman, deportes, escalada, pesas, caza y hasta varios años de algo de entrenamiento de combate.
      Creo que podría matar con las manos desnudas a la mayoría de las personas a mi alrededor, pero no lo hago.
      Como dijiste, la vida no funciona así.
      Sin embargo, la gente aplica esa lógica de forma imprudente a cosas como autos, teléfonos y proyectos personales como el de arriba.
      Me pregunto cómo se sentirían si los moliera a golpes y, riéndome, les dijera: “tu mamá debió haberse acostado con alguien más grande”.
      En fin, estoy de acuerdo en que es algo realmente lamentable.
  • Es mejor no tomarlo como algo personal.
    No saben quién eres ni les importa.
    En los servidores, algún tipo de limitador de velocidad se está volviendo casi indispensable.
    El escaneo y la exploración pasan de ser simples faltas de educación, pero Internet está lleno de cosas molestas.
    Fail2ban se puede configurar fácilmente para manejar intentos simples de inicio de sesión o escaneos de vulnerabilidades.
    Si no existe algo parecido para servidores web, no debería ser difícil de crear; me pregunto si alguien conoce un Fail2ban para servidores web o algún limitador de velocidad.

    • Poner el sitio web detrás del plan gratuito de Cloudflare resuelve el problema.
  • Me ha gustado este sitio desde que lo conocí.
    En entornos donde la densidad de las oficinas aumenta cada vez más, como ocurre hoy, al menos en mi zona resulta todavía más útil.
    El rediseño reciente de la app también fue excelente.
    Solo por poder acceder a la enorme biblioteca que creó, vale la pena hacer una pequeña contribución.
    En especial porque la mayor parte del contenido son grabaciones que él mismo hizo en el lugar, mezcló y dividió en bandas de ecualizador.
    Incluye la costa de Irlanda, canales subterráneos y sonidos de varios bosques.

  • El enfrentamiento desigual entre el bien y el mal probablemente sea un problema difícil que lleva miles de años.
    Se han propuesto varias soluciones sobre cómo tratar a la gente mala —matarlos, perdonarlos, educarlos y corregirlos—, pero ninguna parece funcionar realmente bien.
    Una solución podría ser reunirlos a todos, enviarlos a otro planeta y dejar que vivan allí como quieran, pero sin poder molestar a la gente buena.
    Y quizá alguien diga que eso ya se hizo, y que por eso estamos aquí.

    • Ya se intentó antes.
      Empezaron con los desinfectadores de teléfonos, los peluqueros y los ejecutivos de publicidad.
    • Creo que hace poco vi una publicación sobre alguien que, mediante el protocolo HTTP, servía contenido comprimido con gzip especialmente preparado para que su tamaño explotara del lado del receptor.
      Como los crawlers normalmente no asignan tanto espacio a cada instancia, podría ser una buena medida preventiva.
    • Visto así, parece que aquí nosotros somos los malos.
    • ¿Cuándo fue la última vez que matamos a hackers maliciosos?
  • Pobrecito, probablemente fue rastreado por un bot de LLM
    Es muy posible que el “atacante” ni siquiera sepa quién es esta persona
    Tal vez solo sea una empresa sin rostro que quiere usar sus sonidos o contenido de ruido blanco para entrenar y alimentar LLM
    A mí también me llegan “ataques” parecidos todos los días, pero al revisarlos muchas veces son bots que rastrean los registros de transparencia de certificados
    Si uno revisa el certificado del sitio, ve que lo emitió Let’s Encrypt CA, y como mucho es algo al nivel de un script kiddie buscando presas fáciles
    Ojalá en adelante no se tome estos “ataques” de forma tan personal
    En general parece una buena persona, quizá incluso demasiado buena para este mundo

  • Soy miembro de por vida y llevo años disfrutando mynoise.net
    Es lo mejor que he encontrado para concentrarme y bloquear distracciones
    También uso brain.fm y YouTube Music, pero su sitio es mejor, está diseñado con más intención y me funciona mejor, así que siempre termino volviendo

  • La app de MyNoise realmente mejoró mi vida
    En casa uso una máquina de ruido blanco, pero cuando viajo MyNoise es mi compañero para dormir, y me gusta especialmente poder configurar el ecualizador para bloquear ruidos específicos que podrían despertarme
    Es una pena lo de ese hackeo molesto

    • Totalmente de acuerdo, yo llevo años haciendo exactamente lo mismo
      Algo especialmente bueno cuando la conexión es inestable es que, una vez que cargas tu ruido preferido, se ejecuta localmente en el navegador y sigue reproduciéndose sin cortes aunque se caiga la conexión
  • No entiendo por qué alguien querría hacerle daño a esta persona
    Este sitio es excelente

    • Hay gente que solo quiere ver arder el mundo
      Puede haber muchas razones, pero en lo más básico es cierto eso de que la gente herida hiere a otros
      Trato de recordar esto también en la forma en que reacciono cuando alguien se comporta con menos amabilidad
      Si reacciono mal, le doy a esa persona una excusa para justificar hacerle lo mismo a alguien más la próxima vez
      Aprendí que uno puede defenderse sin convertirse en un desquiciado echando espuma por la boca
      En la mayoría de los casos, los límites se pueden marcar con una pistola de agua, no con armas nucleares
      Todo está conectado, y aunque esta persona quizá sea ingenua, está intentando iniciar una buena conexión
      Me dan ganas de aplaudirlo
    • Es muy probable que no sea un ataque dirigido
      Por mi experiencia administrando sitios, internet es un páramo mezclado de rastreadores de IA, script kiddies que intentan convertir cualquier formulario en un vector de amplificación y escáneres de vulnerabilidades
    • También es posible que alguien de una gran empresa de IA haya apretado un botón para agregar este sitio a una colección de materiales de entrenamiento
      Quizá, con pereza o no, también marcó las casillas de “repetir” y “para siempre”
    • Si algo me han enseñado los años en internet, es que algunas personas son realmente muy inestables mentalmente y tratan de destruir todo lo que tienen al alcance
      Lo hacen simplemente porque pueden
      A veces es para conseguir atención, y a veces solo porque quieren ver arder el mundo
      En cualquier caso, no tiene sentido preguntar “¿qué hizo la víctima para que le pasara esto?”
      Lo más probable es que el atacante ni siquiera se haya hecho esa pregunta, y puede que simplemente sea un sociópata descarado
      A medida que internet crece, también aumenta la cantidad de este tipo de personas
      Antes habrían sido marginadas por la sociedad, su capacidad de hacer daño a otros habría estado bastante limitada salvo que recurrieran a métodos más extremos, y por lo general eso habría tenido consecuencias graves
      Pero internet les dio una nueva vía de escape, les ofreció formas de arruinar cosas de personas de todo el mundo a las que antes no habrían podido llegar, y normalmente con muy poco riesgo de castigo