LendingTree es un mercado en línea que permite a los consumidores y prestatarios comerciales ponerse en contacto con diversos prestamistas para encontrar hipotecas, préstamos estudiantiles, préstamos comerciales, tarjetas de crédito, cuentas de depósito y seguros con los términos más convenientes. LendingTree está asociado con más de 400 instituciones financieras de todo el mundo. Más de 15 millones de usuarios activos utilizan LendingTree para supervisar su crédito, adquirir préstamos y gestionar su bienestar financiero.
Cuando John Turner, director de seguridad de aplicaciones, se incorporó al equipo de LendingTree, la empresa estaba atravesando muchos problemas relacionados con los costos y el rendimiento de su proveedor de servicios de seguridad. Debían medir la protección DDoS del proveedor, lo que suponía costes sustanciales a LendingTree. Además, la solución bloqueaba el tráfico legítimo.
"Su soluci ón no estaba bien pensada y era estática", explica Turner. "Teníamos que especificar límites arbitrarios en las solicitudes por minuto de forma manual. Cuando superábamos ese número, el proveedor descargaba y gestionaba el tráfico, y nos cobraba el uso adicional".
Estas limitaciones causaban grandes problemas cada vez que LendingTree lanzaba una campaña de marketing. "Cada vez que publicábamos un nuevo anuncio de televisión o una campaña en las redes sociales, las solicitudes superaban el límite arbitrario que nos hacía especificar nuestro proveedor, y este interpretaba el aumento como un ataque DDoS y bloqueaba el tráfico legítimo", recuerda Turner. "No solo perdíamos esos clientes potenciales, sino también el dinero que gastábamos para llevarlos a nuestro sitio, y nuestro proveedor nos facturaba por la protección DDoS".
Turner recurrió a Cloudflare porque ya tenía experiencia trabajando con la empresa. "En mi trabajo de consultoría, he recomendado Cloudflare a mis clientes varias veces. Sabía que los productos de Cloudflare funcionaban bien y ofrecían un gran valor", afirma. En LendingTree, Turner decidió implementar el paquete de soluciones de rendimiento y seguridad de Cloudflare, que incluye la gestión de bots, el firewall de aplicaciones web (WAF) y la protección DDoS, así como Workers, la plataforma sin servidor de Cloudflare.
Cloudflare ofrece mitigación de DDoS ilimitada con 51 Tbps de capacidad, lo que hace que LendingTree no tenga que preocuparse por establecer límites de tráfico arbitrarios. LendingTree también ha obtenido muchos otros beneficios de seguridad de Cloudflare, como la gestión de bots.
Los bots malos que abusaban de las API de LendingTree suponían mucho dinero a la empresa, no solo en términos de costos de ancho de banda sino también por la pérdida de oportunidades. Debido a la sofisticación de los bots y al hecho de que estaban extrayendo datos financieros, Turner creía que algunos de ellos venían de parte de los competidores. LendingTree no pudo restringir las API por completo, ya que sus socios necesitaban acceder a ellas para obtener información actualizada sobre tarifas.
"La factura que pagábamos por el servicio de una API en particular pasó de $10.000 al mes a $75.000 prácticamente de la noche a la mañana. Al mes siguiente, subió a $150.000", explica Turner. "Mi equipo tuvo que pasar mucho tiempo investigando estos ataques y escribiendo reglas personalizadas para intentar detenerlos. Debido a que los atacantes ajustaban sus tácticas todo el tiempo, las reglas que escribíamos funcionaban solo durante un corto periodo de tiempo y, cuando lo hacían, no eran del todo eficaces".
La gestión de bots de Cloudflare ofreció a LendingTree resultados inmediatos. "En un lapso de 48 horas a partir de que habilitamos la gestión de bots de Cloudflare, los ataques contra un punto final particular de la API se redujeron en un 70 %", destaca Turner.
A diferencia de las soluciones que usó LendingTree en el pasado, la gestión de bots de Cloudflare no impide el tráfico legítimo automatizado. "De cientos de miles de solicitudes, descubrimos solo una instancia en la que se marcó una solicitud legítima como maliciosa", reconoce.
Turner también recibió la confirmación de que al menos un competidor había estado abusando de la API de LendingTree. "Tan pronto como detuvimos el abuso de la API, las tarifas de un competidor en particular aumentaron de inmediato", recuerda. "Luego, vi un artículo en la prensa en el que se decía que, de repente, todos excepto LendingTree estaban cotizando tasas hipotecarias altas. Sospechamos que nuestros competidores estaban rastreando nuestra API y usando nuestros propios datos para ofrecer precios más bajos que nosotros".
Turner sostiene que utiliza la plataforma sin servidor Cloudflare Workers para resolver problemas de codificación rápidamente en el perímetro de la red. "Workers es mi navaja suiza. Tiene varios casos de uso", explica. "Me permite resolver fácilmente los problemas que no se pueden esquivar con la reescritura de código". Estos casos de uso incluyen la inyección de encabezados de intercambio de recursos de origen cruzado, la reescritura de parámetros, la inspección de paquetes, la ejecución de pruebas A/B y el análisis y el enrutamiento del tráfico TLS entrante.
"Workers examina las solicitudes entrantes para confirmar que son TLS 1.0 y luego las enruta", indica Turner. "Gracias a Workers, pude descubrir que gran parte de ese tráfico provenía de nuestros propios servidores, que se comunicaban a través de Internet a pesar de encontrarse uno al lado del otro en el mismo centro de datos. Sin Workers, no habría podido identificar este problema. Poder ejecutar código en el perímetro y enrutar el tráfico correctamente permite ahorrar dinero y tiempo".
Hace poco, Turner usó Workers para inyectar encabezados de intercambio de recursos de origen cruzado (CORS) y resolver un problema de comunicación entre los sistemas de LendingTree y uno de sus sitios asociados, operado por AOL. "Pudimos usar Workers para identificar el problema y restaurar el servicio en cuestión de minutos sin tiempo de inactividad ni cambios de código", recuerda Turner. "Sin Workers, habríamos tenido que reescribir el código y cambiar los servidores, y hubiéramos tardado semanas".
Workers ha cambiado la forma en que LendingTree realiza pruebas A/B. Antes de usar Workers, LendingTree tenía que ejecutar todas las pruebas A/B de manera interna mediante proxy NGINX. "Ten íamos todo un sistema de pruebas A/B que escribimos nosotros mismos". Ahora LendingTree está empezando a usar Cloudflare Workers para ejecutar pruebas A/B en el perímetro de la red, lo que aumenta el rendimiento y reduce la complejidad del proceso.
"Cloudflare Workers ha cambiado las reglas del juego para LendingTree. Podemos ejecutar JavaScript de forma asíncrona dentro de una sesión de cliente o en paralelo a ella, manipular datos y tomar decisiones sin afectar el rendimiento ni la disponibilidad", afirma Turner. "Ninguna otra solución ofrece esta funcionalidad".
LendingTree ha integrado una serie de herramientas de seguridad y rendimiento de Cloudflare en toda la organización.
Por ejemplo, la empresa combinó la gestión de bots con la función de limitación de velocidad de Cloudflare y las reglas personalizadas del WAF para reforzar aún más su protección contra bots malos. "En los últimos cuatro a cinco meses, la limitación de velocidad de Cloudflare nos ha permitido evitar que se perpetraran abusos de los puntos finales de nuestra API y, de esa forma, pudimos ahorrar aproximadamente $250.000".
Cloudflare WAF es otro componente fundamental de las defensas de seguridad de LendingTree. "Cloudflare WAF tiene un precio fantástico por todo lo que ofrece, pero lo más importante es que es fácil de usar y funciona muy bien". "Ya no necesitamos equipos dedicados a la gestión de las reglas del WAF ni tenemos que estar al día de las actualizaciones de la información de amenazas. Cloudflare WAF se encarga de todo por nosotros".
Cuando LendingTree observó una disminución de las conversiones, Google sugirió a la empresa mejorar los tiempos de carga de sus páginas. Turner usó las herramientas de optimización de rendimiento de Cloudflare para realizar algunos cambios y luego pidió a Google que volviera a verificar los tiempos de carga de las páginas de LendingTree. Los empleados de Google quedaron sorprendidos. "Con solo hacer uso de las funciones de rendimiento integradas de Cloudflare, mejoramos los tiempos de carga de las páginas hasta en un 70 %", recuerda Turner. "Los empleados de Google afirmaron que nunca habían visto aumentar tan rápido el rendimiento de un sitio con solo que alguien realizara algunos cambios".
LendingTree utiliza los certificados TLS de Cloudflare para ahorrar dinero y evitar interrupciones debido al vencimiento de certificados. "Tenemos miles de propiedades diferentes. A esa escala, era solo cuestión de tiempo olvidar renovar un certificado", explica Turner. "Con los certificados TLS de Cloudflare, que se renuevan automáticamente, ahorramos alrededor de $50.000 al año, tanto en costos administrativos como en pérdida de ingresos por interrupciones provocadas por el vencimiento de certificados".
Turner sostiene que los ahorros que LendingTree obtiene gracias a Cloudflare son superiores a sus costos de servicio. "Cloudflare nos permite entregar nuestros productos de manera rápida, segura y confiable, brindándonos así la seguridad que nuestro negocio necesita".
La gestión de bots de Cloudflare redujo en un 70 % los ataques contra el punto final de la API en el que se producían abusos con frecuencia.
Con Workers, LendingTree resolvió de inmediato un problema de comunicación entre sus sistemas y uno de sus sitios asociados, sin tiempo de inactividad ni cambios de código.
Al detener el abuso de los puntos finales de la API, la limitación de velocidad de Cloudflare permitió a LendingTree ahorrar $250.000 en un lapso de cinco meses.
Con el conjunto de soluciones de rendimiento de Cloudflare, LendingTree mejoró los tiempos de carga de sus páginas hasta en un 70 %.
“Cloudflare Workers ha cambiado las reglas del juego para LendingTree. Podemos ejecutar JavaScript de forma asíncrona dentro de una sesión de cliente o en paralelo a ella, manipular datos y tomar decisiones sin afectar al rendimiento ni a la disponibilidad. Ninguna otra solución ofrece esta funcionalidad.”
John Turner
Director de seguridad de aplicaciones
“En los últimos cuatro a cinco meses, la solución de limitación de velocidad de Cloudflare nos ha permitido evitar que se perpetraran abusos de los puntos finales de nuestra API y, de esa forma, pudimos ahorrar aproximadamente $250.000.”
John Turner
Director de seguridad de aplicaciones