Flo Health

Flo Health protege los datos personales de una base global de usuarias con la ayuda de Cloudflare

Flo Health confía en las soluciones de Cloudflare para implementar el modo anónimo y cumplir con sus objetivos de conformidad

Flo es la aplicación de salud femenina más popular del mundo, con 400 millones de descargas y 75 millones de usuarias activas al mes. La aplicación les ofrece una amplia variedad de servicios, como el seguimiento del ciclo menstrual, un calendario de fertilidad, apoyo durante el embarazo y abundante contenido educativo. Como plataforma de confianza para la salud femenina, Flo recopila y procesa una gran cantidad de datos confidenciales de salud personal, por lo que la seguridad y la privacidad de los datos son una de sus principales prioridades.

Según Roman Bugaev, director técnico de Flo: “En Flo, estamos convencidos de que todas las mujeres tienen derecho a realizar un seguimiento de su salud sin preocupaciones. Es responsabilidad de cada aplicación de salud femenina comprometerse a respetar las normas más exigentes en materia de privacidad y seguridad".

Desafío: proteger los datos confidenciales de salud contra el uso indebido y las ciberamenazas

La misión de Flo de proporcionar a sus usuarias las herramientas necesarias requiere que la empresa proteja los datos confidenciales de salud contra el acceso no autorizado y el uso indebido. Con una base global de usuarias, Flo Health debe cumplir con numerosas normativas, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que exige estrictos controles en materia de seguridad y privacidad de datos. Al mismo tiempo, la empresa afronta el desafío de defenderse del panorama de amenazas en rápida evolución, caracterizado por ciberataques cada vez más sofisticados y frecuentes.

"Creemos que todas las usuarias, independientemente de dónde vivan, deben tener el mismo nivel de protección. Debemos proteger su privacidad en todas las circunstancias", comenta Bugaev.

Gestionar los riesgos de la IA generativa en el phishing y la protección de datos

Las herramientas de IA generativa como ChatGPT pueden ser útiles, pero también representan una amenaza significativa para la privacidad y la seguridad de los datos de una organización. En los últimos años, Flo Health ha observado un aumento considerable de la sofisticación y el volumen de los ataques de phishing a medida que los ciberdelincuentes han adoptado la IA generativa.

Según Bugaev, Cloudflare Email Security ha sido crucial para gestionar la exposición de la empresa a esta nueva amenaza. "Tras el lanzamiento de GPT4, analizamos nuestras estadísticas en Cloudflare y descubrimos que los ataques habían aumentado un 20 % en un mes. Confiamos en la solución de seguridad de correo electrónico de Cloudflare, que está gestionando muy bien el aumento del volumen de estos ataques de phishing y nos ayuda a proteger a nuestras usuarias y nuestra empresa", declara Bugaev.

Simplificar el acceso seguro a las aplicaciones

Flo Health continúa su expansión, y ya cuenta con unos 520 empleados. Utilizan Cloudflare para proteger el acceso de sus empleados a las aplicaciones e infraestructuras internas. Todos los dispositivos de la empresa tienen instalado el agente de dispositivos de Cloudflare. Esto les permite proteger los dispositivos corporativos enviando de forma segura y privada el tráfico de esos dispositivos a la red global de Cloudflare, donde Cloudflare Gateway puede aplicar un filtrado web avanzado. El cliente WARP también permite aplicar políticas Zero Trust avanzadas que comprueban el estado de un dispositivo antes de que se conecte a las aplicaciones corporativas. "Lo mejor de WARP, el agente de dispositivo de Cloudflare, es que es invisible para los empleados y no afecta la productividad, mientras garantiza que están protegidos por defecto", comenta Bugaev.

Flo Health también se ha beneficiado de la integración de Cloudflare con CrowdStrike para garantizar el acceso seguro de sus empleados a las aplicaciones desde cualquier lugar. Gracias a estos dos productos, Flo ha podido implementar fácilmente reglas basadas en la puntuación ZTNA de Crowdstrike para garantizar que solo los empleados con la postura de dispositivo adecuada puedan acceder a las aplicaciones confidenciales. A los empleados con una puntuación ZTA baja se les deniega el acceso o se ponen en un entorno aislado.

Ir más allá en el cumplimiento normativo

Flo tiene una base de usuarias verdaderamente global, lo que significa que está sujeta a numerosas regulaciones en materia de privacidad de datos, como el Reglamento General de Protección de Datos (RGPD). En lugar de adoptar un enfoque del cumplimiento normativo fragmentario y "de marcar casillas", la empresa cumple con los requisitos más estrictos en vigor.

Bugaev reconoce que Cloudflare es un elemento fundamental de la estrategia de seguridad por diseño y por defecto de la empresa. Flo Health ha implementado numerosas soluciones de Cloudflare para cumplir con los requisitos de conformidad y alcanzar sus objetivos en materia de seguridad de datos. Además de Cloudflare Email Security y Zero Trust, la empresa utiliza el firewall de aplicaciones web (WAF) de Cloudflare para identificar y bloquear los intentos de explotación de aplicaciones web vulnerables y de acceso a los datos confidenciales de sus usuarias. Flo aprovecha la capacidad de crear reglas WAF personalizadas para ofrecer protección muy precisa contra amenazas específicas a sus productos e infraestructura exclusivos. La funcionalidad de limitación de velocidad protege eficazmente a Flo contra los ataques automatizados, los intentos por fuerza bruta y el abuso de las API. Asimismo, Flo utiliza los conjuntos de reglas administradas del WAF de Cloudflare para neutralizar proactivamente los intentos de explotación de varios tipos de vulnerabilidades, como las que se describen en las 10 principales vulnerabilidades de OWASP.

Flo también se beneficia de varias funciones de Cloudflare para garantizar el cumplimiento de diversos estándares y normativas. Por ejemplo, aplican estrictamente las versiones mínimas de TLS para evitar la transferencia de datos confidenciales mediante un protocolo no seguro. Además, la capacidad de Cloudflare para restringir el tráfico a determinados países o regiones permite a la empresa el cumplimiento de sanciones.

Garantizar la privacidad de sus usuarias con el modo anónimo

Para cumplir con sus objetivos centrados en la privacidad y simplificar el cumplimiento de las leyes de privacidad de datos, Flo Health decidió implementar el modo anónimo en su aplicación. Gracias al modo anónimo, sus usuarias pueden beneficiarse de sus servicios sin que se revelen sus datos identificativos, como su dirección IP, su correo electrónico o su nombre.

Cloudflare Relay es un componente fundamental de esta función, ya que actúa como un proxy en la conexión entre Flo Health y el dispositivo de una usuaria. Cuando el tráfico va desde la aplicación hacia los servidores de la empresa, la dirección IP de la usuaria se reemplaza por la dirección IP de Cloudflare. Como resultado, Flo Health no tiene visibilidad sobre el origen de los datos que se envían a su aplicación. Además, todo el tráfico está cifrado con un algoritmo criptográfico poscuántico, que protege los datos confidenciales incluso contra los intrusos más sofisticados.

Este diseño garantiza que los datos de una usuaria no puedan vincularse a su identidad, ya que ninguna de las partes tiene acceso a todos los elementos necesarios para identificarlos y realizar posibles ataques o robos de datos.

"Cloudflare se sitúa entre nuestros servidores y nuestras usuarias y garantiza que no vemos lo que no necesitamos ver", afirma Bugaev "No podemos ver la identidad de nuestras usuarias, y Cloudflare no puede ver sus datos".

Gracias a este innovador enfoque que garantiza la privacidad de sus usuarias, Flo ha recibido múltiples premios y reconocimientos. En la auditoría de certificación ISO 27001 de la empresa se destacó como "área de excelencia" y fue reconocida como la Mejor Invención de TIME en 2023. El modo anónimo también recibió el Premio a la Innovación en Privacidad de IAPP 2022 y fue finalista en los Fast Company World Changing Ideas 2023 en la categoría de Respuesta rápida.

La red perimetral garantiza un alto rendimiento de las aplicaciones en todo el mundo

El sitio web y la API de Flo Health están alojados en los Estados Unidos, pero tienen usuarias en todo el mundo. Como resultado, la empresa confía en Cloudflare para garantizar una experiencia positiva para todas sus usuarias.

Además de la CDN de Cloudflare, Flo Health también utiliza Argo Smart Routing para optimizar el enrutamiento del tráfico de su API a través de la red de Cloudflare. En general, Argo ayuda a acelerar el tráfico de la API de Flo en un 20 % de promedio.

Para mejorar aún más el rendimiento, se implementan importantes puntos finales de la API utilizando Cloudflare Workers. Esto permite que se implementen en el centro de datos de Cloudflare más cercano a las usuarias, lo que ayuda a reducir la latencia y a mejorar el rendimiento.

Workers también forma parte de la estrategia de mejora continua de Flo. La empresa realiza unas 400 pruebas A/B cada trimestre para evaluar posibles mejoras de su aplicación y de la experiencia de sus usuarias. Con Workers, Flo puede verificar si una llamada API específica forma parte de un experimento activo y si se devuelve a la usuaria con una latencia inferior a 200 ms.