Stack Overflow elimina los ataques DDoS y escala la seguridad con un equipo reducido

Stack Overflow es uno de los destinos más confiables de Internet para ingenieros, sirviendo a millones que dependen de la plataforma para conocimiento técnico y colaboración. Junto con su plataforma pública, la empresa ofrece un producto de software como servicio (SaaS) que permite a las organizaciones ejecutar instancias privadas de Stack Overflow para colaboración interna y gestión del conocimiento. El perfil de tráfico de la empresa ha cambiado en la era de la inteligencia artificial. Si bien el tráfico de personas ha disminuido, el raspado automatizado ha aumentado significativamente, convirtiendo el contenido de Stack Overflow en un objetivo altamente valioso para bots y rastreadores de IA, lo que hace que la seguridad en el borde sea una prioridad absoluta.

Los ataques DDoS persistentes representan riesgos operativos

En 2022, Stack Overflow se vio abrumado por ataques DDoS de capa 7 que repetidamente interrumpieron la disponibilidad. Bloquear estos ataques fue difícil con su red de entrega de contenido (CDN) existente. El CDN utilizaba agentes locales en cada punto de entrada, introduciendo retrasos a medida que los sistemas distribuidos intentaban bloquear los ataques. Estos retrasos fueron suficientes para que los picos de tráfico causaran "interrupciones" visibles para los usuarios, que duraban varios segundos o más. Y como la detección y mitigación de amenazas ocurría en la capa de aplicación y origen en lugar del borde, detener el tráfico malicioso agotó la infraestructura y obligó a límites conservadores que dejaban poco margen para errores.

Cuando el contrato de CDN con Fastly llegó a su renovación, Stack Overflow evaluó alternativas con la prioridad de eliminar por completo el impacto de los ataques DDoS. Cloudflare destacó por la reputación de la empresa en la mitigación a gran escala de ataques DDoS, economía competitiva y soporte activo. La decisión fue un "obvio", según Josh Zhang, Líder del Equipo de Confiabilidad del Sitio en Stack Overflow. Al pasar a Cloudflare, el equipo de Zhang podría ahorrar aproximadamente el 33% de sus costos de CDN y eliminar la necesidad de contratar científicos de datos y más ingenieros de confiabilidad de sistemas (SRE) para gestionar la seguridad en el borde.

Acelerando la migración con servicios profesionales de asistencia directa

Con los ataques DDoS en aumento y una fecha límite para el contrato de CDN, Stack Overflow tenía solo un mes para completar una migración completa. "Realísticamente hablando, cualquier migración de CDN... debería tomar al menos seis meses", dice Zhang. Al completar la migración en un mes, incluyendo la modernización de configuraciones y la traducción de la lógica del Lenguaje de Configuración de Varnish (VCL) de Fastly, Stack Overflow evitó penalizaciones contractuales y riesgos continuos de ataques.

Zhang atribuye a Servicios Profesionales de Cloudflare la posibilidad de lograr esto. "El equipo de Servicios Profesionales de Cloudflare trabajó estrechamente con mi equipo para reescribir todo desde cero, migrando todo a Terraform y convirtiendo el código. Está muy bien hecho y lo seguimos usando hasta hoy", dice Zhang.

Deteniendo los ataques DDoS en el borde, no en el origen

Después de implementar protección DDoS de Cloudflare y Firewall de aplicación de Cloudflare, Stack Overflow trasladó por completo la mitigación al borde. Los ataques que antes causaban alertas, confusión y caídas ahora se absorben automáticamente, a menudo sin que el equipo se diera cuenta hasta más tarde, "porque alguien simplemente estaba mirando el panel de control", explica Zhang. Al bloquear el tráfico malicioso antes de que llegue al origen, Stack Overflow reduce tanto el riesgo operativo como la carga en la infraestructura. La empresa mantiene una disponibilidad constante con protecciones automatizadas que anticipan y mitigan ataques a gran escala.

Escalando la gestión de bots sin escalar el personal

A medida que el tráfico de bots creció para representar la mayoría de las solicitudes entrantes, Gestión de Bots de Cloudflare se convirtió en parte central de la estrategia de seguridad de Stack Overflow. Listas de bots verificados e identificación de rastreadores de IA eliminaron la necesidad de investigación manual y listas de permitidos personalizadas, permitiendo al equipo enfocarse en amenazas avanzadas en lugar de actores conocidos.

Según Zhang, usar soluciones de Cloudflare significa que su pequeño equipo puede manejar niveles de gestión de bots que tomarían a pares en otra empresa "dos equipos grandes" de 25-30 personas. "Mi equipo solo somos yo y otros dos", dice Zhang.

Con la confianza de que los rastreadores y motores de búsqueda legítimos no serían bloqueados, el equipo se volvió más agresivo con el cumplimiento. Reglas que antes requerían ciclos de implementación cuidadosos de un día pueden ahora implementarse y ajustarse en minutos, mejorando drásticamente la respuesta en un 99,5%.

Convirtiendo la visibilidad del borde en valor operativo y comercial

Los registros de Cloudflare proporcionan a Stack Overflow visibilidad detallada y end-to-end sobre patrones de tráfico y eventos de seguridad. Esa visibilidad ha ayudado a descubrir vulnerabilidades sutiles en la capa de aplicación y a comprender comportamientos de ataques complejos que habrían sido casi imposibles de diagnosticar de otra manera.

Una seguridad más fuerte en el borde también trae ahorros de costos. "Cada solicitud no deseada que llega al origen nos cuesta dinero", explica Zhang. "Si somos capaces de bloquearla en el borde, es menos dinero que gastamos en infraestructura en la nube."

Simplificando la infraestructura con Cloudflare Workers

Stack Overflow utiliza Cloudflare Workers para lograr paridad de funciones con su sistema anterior, específicamente para registro y eliminación de encabezados. Dado que el registro de Cloudflare ocurre al final y la eliminación ocurre antes, Workers es crítico para interceptar solicitudes, capturar los encabezados de telemetría necesarios, eliminarlos y luego registrarlos para que aparezcan en los registros centralizados.

Sin este enfoque, Zhang señala: "Habríamos tenido que encontrar una forma de registrar y luego reensamblar [los encabezados] en los registros para que fueran útiles."

Debido a que Cloudflare Workers es altamente personalizable, Zhang está explorando capacidades adicionales, como usarlo para gestionar una cookie de seguimiento de sesión necesaria. Esto simplificaría la infraestructura principal al consolidar la lógica que actualmente está dispersa en múltiples aplicaciones en una sola ubicación en el borde.

Qué sigue: Monetizando el tráfico de IA y avanzando en la inteligencia de bots

Con ataques disruptivos eliminados y operaciones de seguridad bajo control, Stack Overflow se enfoca en el futuro. Una iniciativa clave es lanzar un programa de pago por rastreo que le permita monetizar el acceso de IA a su contenido. Gracias a las perspectivas que ahora tienen sobre los datos de tráfico de bots, Stack Overflow se convierte en el primer cliente de Cloudflare en comercializar sus datos en el mercado de contenido de pago por rastreo.

Más allá de eso, el equipo está invirtiendo en técnicas más avanzadas de categorización de bots para identificar y bloquear bots sofisticados automáticamente, incluso a medida que las tácticas evolucionan. Una técnica así implica el uso de Cloudflare Challenges. Estos mecanismos de seguridad degradan activamente los puntajes de bots de nuevos bots avanzados, que comienzan en 99.

Con Cloudflare, Stack Overflow ahora tiene una forma de proteger su sitio de ataques y hasta ganar dinero con el aumento del tráfico de bots de IA. Stack Overflow ve a Cloudflare como un socio a largo plazo para operar una plataforma resistente y eficiente lista para lo que sea que traiga la próxima fase de Internet.