CARS24

Cloudflare ayuda a la plataforma de comercio electrónico CARS24 a anticiparse a los ataques DDoS, la extracción de datos y los bots de acumulación de citas

La creciente clase profesional de la India aspira más que nunca a la seguridad y la comodidad del transporte privado. Sin embargo, muchos compradores de coches nuevos no están dispuestos a pagar los altos precios, que se han disparado a raíz de la incertidumbre de la COVID-19, los problemas de la cadena de suministro mundial y la escasez de nuevos modelos. Ahí es donde entra en escena CARS24, empresa pionera en una estrategia de venta dual C2B y B2C, que desmitifica la venta de coches de segunda mano ofreciendo valoraciones justas a los vendedores, y controles de calidad, garantías y financiación a los compradores.

El momento no podía ser mejor. El mercado de vehículos de segunda mano de la India está valorado actualmente en 34 100 millones de dólares, y las previsiones estiman que esa cifra se duplicará hasta superar los 70 000 millones de dólares en 2027, conforme otros mercados regionales sigan su ejemplo. Esta empresa privada, valorada en 5 000 millones de dólares, se creó en 2015. Tiene 205 sucursales en toda la India, está presente en 203 ciudades del país y cuenta con una red de más de 10 000 socios de canal. CARS24, que ya domina el mercado indio, se ha expandido a los Emiratos Árabes Unidos, Australia y Tailandia y planea ampliar su alcance global.

Desafío: garantizar transacciones seguras y eficaces en un ecosistema internacional dinámico y amenazado

Como plataforma de comercio electrónico de automoción próspera, CARS24 depende de la seguridad, la estabilidad y la disponibilidad para garantizar transacciones eficaces en un mercado plagado de riesgos para compradores y vendedores.

"La comodidad y la tranquilidad que ofrecemos al consumidor son nuestras mejores prestaciones", explica Marut Singh, director de tecnología de CARS24 que supervisa la pila tecnológica de la empresa, la arquitectura de las aplicaciones y la seguridad. "Aunque el proceso parece muy sencillo, hay muchas complejidades subyacentes", añade, refiriéndose a la confianza del consumidor, así como a la normativa, la logística y los sistemas necesarios para evaluar, adquirir, renovar, fotografiar y financiar la compra de cada vehículo.

"Nuestra infraestructura debe estar siempre en funcionamiento porque nuestros clientes no van a esperar. Hay una oferta limitada de vehículos y mucha gente interesada en cada coche. Los retrasos suponen una pérdida de oportunidades".

Con un equipo de SecOps de solo tres personas encargadas tanto del cumplimiento como de la gestión de varios dominios internos y externos utilizados por sus socios de canal y clientes en todo el mundo, CARS24 tenía varias preocupaciones.

"Nos enfrentábamos a ataques DDoS, bots de extracción de datos y a la engorrosa tarea de gestionar certificados en todas nuestras propiedades web a medida que crecían en número", resume Singh. "Queríamos una capa de seguridad que pudiera proteger nuestras propiedades web y API sin añadir un coste significativo".

En su búsqueda de una solución de seguridad, CARS24 probó varios proveedores antes de Cloudflare, pero ninguno de ellos cumplía todos los requisitos.

"El competidor con la mayor huella y oferta de servicios comparables a Cloudflare tenía una interfaz de usuario demasiado compleja y obsoleta para utilizarla de forma eficiente", recuerda Singh. "Otro proveedor carecía de servidores en la India, el más cercano estaba en Singapur, y añadía una latencia significativa a nuestra infraestructura. La última solución que estudiamos era demasiado complicada para configurarla con eficacia y tenía políticas de precios sin desarrollar".

CARS24 quería una solución de seguridad avanzada que ofreciera todo lo que había en su lista: facilidad de implementación y configuración, mantenimiento, rendimiento, cobertura de servidores locales, soporte rápido y relación calidad-precio.

Cloudflare garantiza una implementación eficaz del WAF y una protección DDoS de alto nivel

CARS24 comenzó su recorrido en Cloudflare en 2019, cuando decidió proteger sus dominios con el firewall de aplicaciones web (WAF).

"Realmente no fue difícil. La integración de Cloudflare con nuestros dominios más nuevos solo supuso cambiar los servidores de nombres", indica Singh.

La migración de los dominios heredados de CARS24 y sus complejos requisitos de equilibrio de carga resultó ser una tarea casi igual de sencilla. Con el aplanamiento CNAME de Cloudflare, CARS24 pudo proporcionar acceso inmediato a los servicios perimetrales.

"Cuando utilizábamos soluciones de la competencia, nos encontrábamos con importantes problemas de implementación y configuración, y los cambios tardaban mucho tiempo en reflejarse", continúa Singh. "Lo que nos llevaba tres días con un proveedor anterior, Cloudflare lo logró en una hora. En general, la interfaz de Cloudflare es mucho más sencilla, y los certificados y cambios de configuración en el WAF se propagan en minutos".

Con Cloudflare, el equipo de CARS24 puede por fin abordar su preocupación de seguridad más acuciante, los ataques DDoS. Con sus primeros proveedores, CARS24 era especialmente vulnerable los fines de semana, cuando la actividad de los clientes era mayor y su personal técnico estaba menos disponible.

"Los sábados y domingos son nuestros días de mayor actividad y, en el pasado, el sitio fallaba debido a ataques DDoS durante este periodo crítico", afirma Singh.

Ahora, CARS24 puede configurar ajustes sólidos para prevenir ataques DDoS que combinan el WAF de Cloudflare, su conjunto de reglas administradas, el conjunto de reglas básicas de OWASP para ModSecurity y sus propias reglas personalizadas.

CARS24 también utiliza la función de Cloudflare de bloqueo de IP basado en el país para evitar ataques volumétricos no deseados y garantizar que sus sitios permanezcan activos.

"No hay ningún valor estratégico en permitir el tráfico que se origina en países problemáticos cuando no es posible que provenga de un cliente potencial", sostiene Singh.

Directamente desde el panel de control, Cloudflare filtra las solicitudes dudosas y protege los sitios web, las aplicaciones y las redes de CARS24 contra los ataques DDoS sin afectar al rendimiento ni perjudicar al tráfico legítimo de los clientes.

"En los casos más graves, podemos confiar en la caché de Cloudflare para servir a nuestros usuarios incluso si nuestra infraestructura subyacente no está disponible", añade Singh. "Indudablemente, nos da una ventaja".

La gestión de bots de Cloudflare libera los horarios de citas de los clientes, y reduce el tráfico no deseado y los gastos generales innecesarios

Otro punto problemático para CARS24 eran los bots de "acumulación" que crean reservas falsas y alteran los flujos de trabajo de adquisición de vehículos de la empresa.

"Hay un número fijo de reservas que nuestros socios de inspección de vehículos pueden gestionar. Cuando un bot bloquea esos horarios de citas, no podemos aceptar reservas reales, lo que significa que no podemos comprar coches", explica Singh.

La limitación de velocidad avanzada de Cloudflare protege a CARS24 de actividades inusuales, como intentos excesivos de inicio de sesión o llamadas de API repetidas.

Los bots de apropiación de datos también eran una amenaza para la información personal de los usuarios y los datos de dominio público de CARS24 que había que frenar. Además del riesgo para la seguridad, el tráfico no deseado estaba afectando a los resultados de CARS24.

"Tanto si el tráfico es legítimo como si no, asumimos los costes de actualizar nuestra infraestructura para atenderlo", sostiene Singh. "El tráfico inútil también sesga nuestros análisis y nos pone en peligro de enfocar nuestras iniciativas de marketing y de otro tipo en el público equivocado".

Con el control granular que Cloudflare proporciona a CARS24 sobre su tráfico, Singh y su equipo pueden reconocer rápidamente la actividad falsa y bloquear, desafiar o redirigir automáticamente las amenazas sin interrumpir el servicio ni tener que contratar personal las 24 horas del día para supervisar de forma manual los sistemas.

"En pocas palabras, Cloudflare identifica y mitiga los riesgos para nuestro ecosistema que los elementos fraudulentos quieren explotar", explica Singh, indicando que Cloudflare ha detenido 44 000 amenazas en las últimas 24 horas. "No podíamos desarrollar esta estrategia internamente y esperar hacerlo bien. Detectar un ataque y saber que Cloudflare ya lo ha detenido nos da tranquilidad".

Sustitución no disruptiva del código heredado en el perímetro con Cloudflare Workers

Cloudflare Workers permite a CARS24 implementar código sin servidor en el perímetro de una potente red global, minimizando la latencia y eliminando las dependencias de la infraestructura local. Singh explica cómo Workers capacita a los equipos de desarrollo de CARS24 para actualizar su base de código PHP heredada a React.js sin interrupciones de servicio o procedimientos de actualización complicados:

"Workers y el enrutamiento avanzado encajan bien con nuestra previsión de desarrollo. Estamos cambiando nuestra pila tecnológica y convirtiendo nuestro trabajo pendiente página por página utilizando una lógica compleja para dirigir a los usuarios a nuestro nuevo código. Sería muy difícil hacerlo desde nuestros propios servidores web, pero es muy fácil con Workers en el perímetro".

Cuanto más lejos lleve CARS24 su negocio, más esenciales podrían ser las funciones de Workers en su infraestructura.

"Además, estamos explorando los casos de uso de Cloudflare Tunnel y Argo Smart Routing conforme la cartera global de CARS24 continúa expandiéndose", indica Singh. La empresa también está investigando el almacenamiento en caché de su contenido estático, incluidas las imágenes de todo su inventario de automóviles, en la red global de Cloudflare.

Después de tres años, CARS24 sigue impresionado por la disponibilidad de los equipos dedicados de CSM y CSE de Cloudflare que trabajan para satisfacer sus necesidades.

"Cloudflare es un producto tan técnico, que tener acceso inmediato a la experiencia de su equipo de soporte para garantizar que todo está configurado, obtener el máximo rendimiento, responder a una pregunta rápida o recibir una llamada para ayudarnos a conocer un nuevo producto o función es muy tranquilizador", insiste Singh. "Como su cliente, estoy seguro de que Cloudflare seguirá apoyando a CARS24 en nuestro crecimiento".