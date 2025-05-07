©2025 Akamai Technologies
Por lo general, la implementación de una solución de ciberseguridad requiere mucho tiempo y no se sabe si es eficaz hasta que se recibe un ataque. Sin embargo, puede obtener rápidamente valor de Akamai API Security y comprobar de inmediato cómo reducir las vulnerabilidades en su entorno de API.Haim Inger, director de tecnología, Clal Insurance and Finance
Revolución digital líder en el sector de los seguros
Fundada en Israel en 1978, Clal Insurance and Finance es todo un referente en los seguros y la gestión del ahorro largo plazo, y cuenta con un total de 332 000 millones de NIS* (90 870 millones de dólares) en activos bajo su control. A través de tres divisiones distintas, ofrece una amplia gama de servicios y productos a particulares y empresas. Los aproximadamente 4400 empleados de Clal trabajan codo con codo con 3700 agentes de seguros para facilitar un servicio de calidad y un soporte profesional a los clientes.
La empresa está completando una transformación digital basada en API para innovar de forma eficiente y consolidar su ventaja competitiva pionera en el intercambio de datos con partners empresariales, otras empresas de tecnología financiera y clientes. Sin embargo, este ecosistema de API también presenta una nueva vía de acceso para posibles amenazas, lo que supone un problema especialmente apremiante en Israel, una nación que suele ser objeto de ciberataques. Mediante la implementación de Akamai API Security, Clal Insurance and Finance alcanzó tres objetivos:
- Detección e inventario automatizados de todas las API
- Proceso de correcciones automatizado
- Mejora de la estrategia de seguridad de API
Exposición a amenazas por la proliferación de API
Clal solía proteger sus sitios web con una solución de otra empresa, que cubría gestión del tráfico, eventos e información sobre seguridad, así como firewall de aplicaciones web. Sin embargo, esas medidas de seguridad se quedaron cortas con el importante y extenso inventario de API de la empresa.
El ecosistema de Clal incluye soluciones revolucionarias como Clal Express, un servicio web que permite a los clientes evitar gastos inesperados, y que la empresa quería gestionar y proteger de forma prioritaria ante el aumento de API en la organización.
Cuando llegó la COVID-19, Clal implementó una solución de puerta de enlace de API para centralizar el ecosistema de API que habían empezado a crear. "En ese momento me di cuenta de que carecía de una visión clara de las más de 600 API expuestas en nuestros sitios web y de las miles de API de toda la empresa", explica Haim Inger, director de Tecnología de Clal.
Aunque la puerta de enlace de API proporciona información parcial sobre el entorno de API, no es una solución de seguridad. De hecho, las empresas que utilizan una puerta de enlace de API deben protegerla. "Cuando empezamos a buscar soluciones para proteger nuestra puerta de enlace de API, vi la diferencia entre dónde estábamos y dónde queríamos llegar en términos de seguridad de API", continúa Inger.
Akamai API Security nos ofrece una visión clara de los datos que se utilizan y cómo, lo que nos permite minimizar nuestra superficie de ataque y, al mismo tiempo, ofrecer el mejor servicio posible a nuestros clientes.Haim Inger, director de tecnología, Clal Insurance and Finance
Rápida implementación de una solución de seguridad de API sofisticada
Como la empresa necesitaba visibilidad de su cartera de API y detectar cualquier amenaza o abuso en ellas, Inger y su equipo de seguridad evaluaron las soluciones disponibles. Además de poder comprobar las anomalías de las transacciones y minimizar los cambios de reglas para tener en cuenta el comportamiento de la API, la solución debía ser fácil de implementar.
Tras analizar tres soluciones, Inger se decantó por Akamai API Security. "Esperaba que la implementación llevara meses, pero para mi sorpresa, la integramos con F5, Splunk y todas nuestras API en solo cuatro días", apunta Inger.
Clal pudo beneficiarse de todas las ventajas de API Security nada más implementarla. A diferencia de las soluciones que requerirían que el equipo de seguridad de Clal revisara cada API y redactara reglas asociadas únicamente a comportamientos deseados, la solución de Akamai realiza automáticamente un inventario y evalúa el estado del ecosistema de API de Clal.
"No tuvimos que hacer nada para entender el estado de nuestras API. Después de incorporar sus datos tokenizados, la solución de Akamai indicó automáticamente lo que era necesario corregir y cómo hacerlo", explica Inger.
Información automática sobre el ecosistema de API
Tras la realización del inventario inicial y el análisis de las API de Clal, Akamai API Security realiza un inventario y análisis continuos del ecosistema. "El proceso de detección es muy importante porque proporciona información continua sobre qué API se están utilizando y cómo, y nos permite cerrar las API que ya no se usan", afirma Inger.
La solución de Akamai también explora y reporta constantemente vulnerabilidades y anomalías mediante una auditoría de riesgos y un análisis de comportamiento. Entre los ejemplos se incluyen la transferencia de datos de tarjetas de crédito de una manera no segura dentro de una API, o si un partner de fintech usa una API no autorizada. En todos los escenarios, API Security permite a Clal garantizar que ninguna de sus API sea un conducto de acceso para los ataques.
Inger y su equipo también apreciaron la capacidad de combinar la solución con API Security ShadowHunt, un servicio gestionado de búsqueda de amenazas que se sirve de los expertos analistas de Akamai especializados en la búsqueda de amenazas a las API.
"Se nos avisa, por ejemplo, de patrones inusuales en cómo o con qué frecuencia se accede a nuestras API. Estas notificaciones nos permiten corregir inmediatamente cualquier vulnerabilidad y evitar que se acceda a los datos de nuestros clientes y que se vean comprometidos", afirma Inger.
Esperaba que la implementación llevara meses, pero para mi sorpresa, la integramos con F5, Splunk y todas nuestras API en solo cuatro días.Haim Inger, director de tecnología, Clal Insurance and Finance
Una estrategia de seguridad sólida para una empresa sólida
Una visión precisa del ecosistema de API y las notificaciones instantáneas sobre posibles problemas no solo ayudan a fortalecer la postura de seguridad de Clal, sino que también consolidan las asociaciones y garantizan la continuidad del negocio. "Antes, simplemente cerrábamos la actividad si un partner de fintech resultaba atacado. Ahora podemos atajar la vulnerabilidad de una API y mantener la actividad de nuestras colaboraciones clave", explica Inger.
En su segundo año de adopción la satisfacción de Inger y su equipo con API Security y ShadowHunt es total. "La solución y el servicio cumplen lo prometido. Además, puesto que la seguridad de API está basada en la nube, no tenemos que mantenerla ni actualizarla", continúa Inger.
Por otro lado, la visión de 360 grados que Akamai proporciona a los entornos de desarrollo y producción de Clal, junto con las alertas de seguridad, son de un valor incalculable. "Akamai nos ayuda a garantizar la mejor estrategia de seguridad posible en nuestro entorno de API", concluye Inger.
*A septiembre de 2023
