LendingTree es un mercado en línea que permite a los consumidores y prestatarios comerciales contactar con numerosas entidades crediticias para encontrar préstamos hipotecarios, préstamos para estudiantes, préstamos comerciales, tarjetas de crédito, cuentas bancarias y seguros con condiciones favorables. LendingTree colabora con más de 400 instituciones financieras de todo el mundo. Más de 15 millones de usuarios activos utilizan LendingTree para monitorizar su crédito, buscar préstamos y gestionar su solidez financiera.
Cuando John Turner, director de seguridad de aplicaciones, se incorporó al equipo de LendingTree, la empresa estaba atravesando muchos problemas relacionados con los costes y el rendimiento de su proveedor de servicios de seguridad. Debían medir la protección DDoS del proveedor, lo que acarreaba costes importantes a LendingTree. Además, la solución bloqueaba el tráfico legítimo.
"Su solución no estaba bien pensada y era estática", explica Turner. "Teníamos que especificar límites arbitrarios en las solicitudes por minuto de forma manual. Cuando superábamos ese número, el proveedor descargaba y gestionaba el tráfico, y nos cobraba el uso adicional".
Estas limitaciones causaban grandes problemas cada vez que LendingTree lanzaba una campaña de marketing. "Cada vez que publicábamos un nuevo anuncio de televisión o una campaña en las redes sociales, las solicitudes superaban el límite arbitrario que nuestro proveedor nos obligaba a determinar, y este interpretaba el aumento como un ataque DDoS y bloqueaba el tráfico legítimo", recuerda Turner. "No solo perdíamos esos clientes potenciales, sino también el dinero que gastábamos para llevarlos a nuestro sitio. Además, nuestro proveedor nos facturaba por la protección contra DDoS".
Turner recurrió a Cloudflare porque ya tenía experiencia trabajando con la empresa. "En mi trabajo de consultoría, he recomendado Cloudflare a mis clientes varias veces. Sabía que los productos de Cloudflare funcionaban bien y el precio era adecuado", afirma. En LendingTree, Turner decidió implementar el paquete de soluciones de rendimiento y seguridad de Cloudflare, que incluye la gestión de bots, el firewall de aplicaciones web (WAF) y la protección contra DDoS, así como Workers y la plataforma sin servidor de Cloudflare.
Cloudflare ofrece mitigación de DDoS ilimitada con una capacidad de 51 TB/s, lo que hace que LendingTree no tenga que preocuparse por establecer límites de tráfico arbitrarios. LendingTree también se ha beneficiado de otras ventajas de las soluciones de seguridad de Cloudflare, como la gestión de bots.
Los bots malos que abusaban de las API de LendingTree suponían mucho dinero a la empresa, no solo en términos de costes de ancho de banda sino también de oportunidades. La sofisticación de los bots y el hecho de que extrajeran información financiera llevaron a Turner a pensar que una parte de ellos podría estar procediendo de sus competidores. LendingTree no pudo restringir las API por completo, ya que sus socios necesitaban acceder a ellas para obtener información actualizada sobre sus tarifas.
"La factura que pagábamos por el servicio de una API en particular pasó de 10 000 USD/mes a 75 000 USD prácticamente de la noche a la mañana. Al mes siguiente, la cifra era de 150 000 USD", explica Turner. "Mi equipo tuvo que pasar mucho tiempo investigando estos ataques y escribiendo reglas personalizadas para intentar detenerlos. Los atacantes cambiaban sus tácticas todo el tiempo, por lo que las reglas que escribíamos funcionaban solo durante un corto periodo de tiempo y, cuando lo hacían, no eran del todo eficaces".
La gestión de bots de Cloudflare ofreció a LendingTree resultados inmediatos. "En un lapso de 48 horas a partir de que activamos la gestión de bots de Cloudflare, los ataques contra un punto final particular de la API se redujeron un 70 %", destaca Turner.
A diferencia de las soluciones que usó LendingTree en el pasado, la gestión de bots de Cloudflare no impide el tráfico legítimo automatizado. "De cientos de miles de solicitudes, descubrimos solo una instancia en la que se marcó una solicitud legítima como maliciosa", reconoce.
Turner también recibió la confirmación de que al menos un competidor había estado abusando de la API de LendingTree. "Tan pronto como detuvimos el abuso de la API, las tarifas de un competidor en particular aumentaron de inmediato", recuerda. "Más tarde, vi un artículo de prensa en el que se comentaba que, de manera repentina, todo el mundo, excepto LendingTree, estaba cotizando tipos hipotecarios altos. Sospechamos que nuestros competidores estuvieron rastreando nuestra API y usando nuestros propios datos para ofrecer precios más bajos que nosotros".
Turner sostiene que utiliza la plataforma sin servidor Cloudflare Workers para resolver problemas de codificación rápidamente en el perímetro de la red. "Workers es como mi navaja suiza. Tiene varios casos de uso", explica. "Me permite resolver fácilmente los problemas que no se pueden arreglar con la reescritura de código". Estos casos de uso incluyen la inyección de encabezados de intercambio de recursos de origen cruzado, la reescritura de parámetros, la inspección de paquetes, la ejecución de pruebas A/B, y el análisis y el enrutamiento del tráfico TLS entrante.
"Workers examina las solicitudes entrantes para confirmar que son TLS 1.0 y luego las enruta", indica Turner. "Gracias a Workers, pude descubrir que gran parte de ese tráfico provenía de nuestros propios servidores, que se comunicaban a través de Internet a pesar de que se encontraban uno al lado del otro en el mismo centro de datos. Sin Workers, no habría podido identificar este problema. Poder ejecutar código en el perímetro y enrutar el tráfico correctamente, nos permite ahorrar dinero y tiempo".
Hace poco, Turner usó Workers para inyectar encabezados de intercambio de recursos de origen cruzado (CORS) y resolver un problema de comunicación entre los sistemas de LendingTree y uno de sus sitios asociados, operado por AOL. "Pudimos usar Workers para identificar el problema y restaurar el servicio en cuestión de minutos, sin tiempo de inactividad ni cambios de código", explica Turner. "Sin Workers, habríamos tenido que reescribir el código y cambiar los servidores, y hubiéramos tardado semanas".
Workers ha cambiado la forma en que LendingTree realiza pruebas A/B. Antes de usar Workers, LendingTree tenía que ejecutar todas las pruebas A/B de manera interna mediante proxy NGINX. "Teníamos todo un sistema de pruebas A/B que escribimos nosotros mismos". Ahora LendingTree está empezando a usar Cloudflare Workers para ejecutar pruebas A/B en el perímetro de la red, lo que aumenta el rendimiento y reduce la complejidad del proceso.
"Cloudflare Workers ha cambiado las reglas del juego para LendingTree. Podemos ejecutar JavaScript de forma asíncrona dentro o junto a una sesión de cliente, manipular datos y tomar decisiones sin afectar al rendimiento ni a la disponibilidad", afirma Turner. "Ninguna otra solución ofrece esta funcionalidad".
LendingTree ha integrado una serie de herramientas de seguridad y rendimiento de Cloudflare en toda la organización.
Por ejemplo, la empresa combinó la gestión de bots con la función de limitación de velocidad de Cloudflare y las reglas personalizadas del WAF para reforzar aún más su protección contra bots malos. "En los últimos 4-5 meses, la limitación de velocidad de Cloudflare nos ha permitido evitar que se perpetren abusos contra los puntos finales de nuestra API y, de esa forma, hemos podido ahorrar aproximadamente 250 000 USD".
Cloudflare WAF es otro componente fundamental del sistema de protección de LendingTree. "Cloudflare WAF tiene muy buen precio para todo lo que ofrece, pero lo más importante es que es fácil de usar y funciona muy bien". "Ya no necesitamos equipos dedicados a la gestión de las reglas del WAF ni tenemos que estar al día de las actualizaciones de la información de amenazas. Cloudflare WAF se encarga de todo por nosotros".
Cuando LendingTree observó una disminución de la tasa de conversión, Google sugirió a la empresa mejorar los tiempos de carga de sus páginas. Turner usó las herramientas de optimización de rendimiento de Cloudflare para realizar algunos cambios y luego pidió a Google que volviera a verificar los tiempos de carga de sus páginas. Los empleados de Google quedaron sorprendidos. "El simple uso de las funciones integradas de rendimiento de Cloudflare nos permitió mejorar hasta un 70 % los tiempos de carga de las páginas", afirma Turner. "Los empleados de Google afirmaron que nunca habían visto aumentar tan rápido el rendimiento de un sitio con solo unos cambios".
LendingTree utiliza los certificados TLS de Cloudflare para ahorrar dinero y evitar interrupciones debido al vencimiento de certificados. "Tenemos miles de propiedades diferentes. A esa escala, era solo cuestión de tiempo olvidar renovar un certificado", indica Turner. "Con los certificados TLS de Cloudflare, que se renuevan automáticamente, ahorramos alrededor de 50 000 USD al año, tanto en costes administrativos como en pérdida de ingresos por interrupciones derivadas del vencimiento de certificados".
Turner sostiene que los ahorros que LendingTree obtiene gracias a Cloudflare son superiores a sus costes de servicio. "Cloudflare nos permite entregar nuestros productos de manera rápida, segura y fiable, brindándonos así la seguridad que nuestro negocio necesita".
La gestión de bots de Cloudflare redujo un 70 % los ataques contra el punto final de la API en el que se producían abusos con frecuencia.
Con Workers, LendingTree resolvió de inmediato un problema de comunicación entre sus sistemas y uno de sus sitios asociados, sin tiempo de inactividad ni cambios de código.
Al detener el abuso de los puntos finales de la API, la limitación de velocidad de Cloudflare permitió a LendingTree ahorrar 250 000 USD en un periodo de cinco meses.
Con el conjunto de soluciones de rendimiento de Cloudflare, LendingTree mejoró los tiempos de carga de sus páginas hasta en un 70 %.
“Cloudflare Workers ha cambiado las reglas del juego para LendingTree. Podemos ejecutar JavaScript de forma asíncrona dentro o junto a una sesión de cliente, manipular datos y tomar decisiones sin afectar al rendimiento ni a la disponibilidad. Ninguna otra solución ofrece esta funcionalidad.”
John Turner
Director de seguridad de aplicaciones
“En los últimos 4-5 meses, la limitación de velocidad de Cloudflare nos ha permitido evitar que se perpetren abusos contra los puntos finales de nuestra API y, de esa forma, hemos podido ahorrar aproximadamente 250 000 USD.”
John Turner
Director de seguridad de aplicaciones