©2026 Akamai Technologies
Innovar de forma segura en la banca digital
Commerzbank, una de las mayores entidades financieras de Europa con fuerte presencia internacional, ofrece a sus clientes servicios digitales innovadores basados en API. Desde el principio, el banco apostó por crear soluciones altamente reutilizables, empezando por sus operaciones CRUD (Create, Read, Update, Delete). Este enfoque sentó las bases de una arquitectura escalable y flexible, que facilitó la integración progresiva de API internas y externas en su ecosistema.
Sin embargo, en un contexto acelerado por la IA, Commerzbank comprendió que los enfoques tradicionales de seguridad por diseño ya no bastaban para mantener la confianza de los clientes ni responder a las crecientes exigencias de acceso seguro y fluido. La entidad ya aplicaba múltiples mecanismos sólidos, como el cumplimiento de los principios OWASP, definiciones de interfaces claras, políticas estrictas, modelos seguros de autenticación y pruebas de penetración periódicas. Aun así, ante el aumento de amenazas y complejidad, necesitaba una solución capaz de adaptarse en tiempo real.
Con ese fin, el banco se asoció con Akamai y Deloitte para implantar una capa dedicada de seguridad para API que reforzara su plataforma de gestión existente. Esta iniciativa permitió detectar anomalías, detectar API en la sombra no gestionadas y reforzar la gobernanza entre equipos, manteniendo al mismo tiempo la agilidad, el cumplimiento normativo y la capacidad de escalar de forma segura.
Ampliar la visibilidad más allá de API Gateway
Commerzbank procesa más de 6000 millones de llamadas de API que sostienen un amplio ecosistema digital de aplicaciones para clientes, partners y equipos internos. Desde 2017, ha confiado en la plataforma de gestión de API Amplify Axway para gestionar tanto API internas como expuestas a Internet. Sin embargo, a medida que las amenazas se volvían más sofisticadas, Volker Sulzbach, ingeniero principal de software y arquitecto de soluciones, detectó la necesidad de reforzar la protección de API.
"Nuestra plataforma de gestión de API funciona bien", explicó Sulzbach. "Pero queríamos detectar comportamientos anómalos y posibles ataques antes de que generaran problemas".
Mientras que el SOC se encargaba de la protección general de red, como los los firewalls, su equipo necesitaba visibilidad directa sobre todas las API críticas para el negocio, con el fin de identificar anomalías y API en la sombra de forma temprana, sin frenar la innovación.
Introducción de Akamai API Security
Tras evaluar varios proveedores, Commerzbank eligió API Security de Akamai, una solución que descubre, clasifica y protege API de forma continua en todos los entornos. "La detección de anomalías era nuestra prioridad absoluta", señaló Sulzbach.
"Necesitábamos un análisis basado en el comportamiento, no solo una inspección llamada por llamada. Akamai nos lo ofrece. Akamai lo hace posible", añadió. Gracias a modelos de aprendizaje automático, API Security identifica usos anómalos, posibles abusos y API en la sombra, y proporciona visibilidad completa tanto de endpoints gestionados como no gestionados.
"Nos impresionó que API Security ayudara a detectar API no autorizadas e incorporara la seguridad desde la fase de desarrollo", explicó Sulzbach.
Protección a escala para miles de API
La primera fase de implantación comenzó en la puerta de enlace del entorno de pruebas de Commerzbank, donde se prueban las API antes de pasar a producción. Tras validar la precisión y rapidez de respuesta de API Security, el equipo protegió inicialmente unas 25 API en producción.
"Primero queríamos definir reglas, reducir falsos positivos y asegurarnos de que los equipos pudieran actuar sobre las alertas. Después ampliaríamos el uso de API Security", explicó Sulzbach.
Esa ampliación acabará cubriendo miles de API y endpoints, con visibilidad y protección continuas tanto en tráfico interno como externo.
Refuerzo de la gobernanza y el cumplimiento
Además de mejorar la seguridad, la solución fortaleció la estrategia de control de API de Commerzbank. El banco aplica normas estrictas de nomenclatura y formato para garantizar coherencia y transparencia. Sin embargo, algunos responsables de API habían eludido estas reglas en el pasado (por ejemplo, evitando abreviaturas o términos en alemán) para acelerar lanzamientos.
Gracias a API Security, esto dejó de ocurrir. "Ahora tenemos visibilidad sobre todas las API relacionadas con el negocio, lo que nos permite garantizar que cumplen nuestras normas de gobernanza", afirmó Sulzbach. "Esa visibilidad nos respalda ante la dirección y nos ayuda a demostrar a los reguladores, incluido el Banco Central Europeo, que protegemos nuestras API de forma proactiva".
Entorno local con flexibilidad en SaaS
Aunque Akamai ofrece API Security como SaaS, Commerzbank optó inicialmente por un despliegue local para tener mayor control y acelerar la adopción. Este enfoque por fases permite al equipo ganar confianza, ajustar políticas e integrar más adelante flujos nativos en la nube a medida que madura su marco de seguridad.
"No se trataba de rechazar la nube. Queríamos empezar rápido, validar la solución y mantener nuestros datos de seguridad internos, sin renunciar a las capacidades de detección", aclaró Sulzbach.
Colaboración con Deloitte para una implementación ágil
Para facilitar el despliegue y la configuración, Commerzbank trabajó con Deloitte, que aportó soporte técnico y estratégico. Esta colaboración permitió acelerar la puesta en marcha, afinar reglas y preparar al equipo interno para gestionar la plataforma a largo plazo.
"Deloitte conoce nuestro entorno y la tecnología de Akamai en profundidad, lo que nos dio una orientación clara y práctica que simplificó el despliegue", afirmó Sulzbach.
Protección continua de API a escala global
Con la adopción de Akamai API Security, Commerzbank refuerza su capacidad para reducir riesgos, mejorar el cumplimiento normativo y avanzar con seguridad en un entorno financiero cada vez más conectado. Su hoja de ruta incluye integrar API Security en todas las API críticas para el negocio, con protección continua desde el diseño hasta la ejecución. En última instancia, la solución alertará a los responsables ante usos indebidos, facilitará la corrección temprana de vulnerabilidades e incluso bloqueará amenazas de forma automática.
"Queremos proteger nuestro amplio entorno de API de la mejor manera posible. API Security nos permite hacerlo al catalogar, analizar y proteger cada API clave para nuestro negocio.", concluyó Sulzbach.
Acerca de Commerzbank
Con dos grandes áreas de negocio (clientes corporativos y clientes particulares y pequeñas empresas), Commerzbank ofrece una amplia cartera de servicios financieros como banco de servicio integral. Es la entidad líder para empresas en Alemania y para el Mittelstand alemán, y un partner de referencia para unos 24 000 grupos empresariales. Con más de 400 000 millones de euros en activos bajo gestión, Commerzbank es también uno de los principales bancos para clientes particulares y pequeñas empresas en Alemania. Ofrece una amplia gama de productos y servicios a través de un modelo omnicanal: en línea y móvil, por teléfono o vídeo desde centros de asesoramiento remoto, y de forma presencial en cerca de 400 oficinas.
Acerca de Akamai
Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia ante amenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa en profundidad para proteger los datos y las aplicaciones empresariales. Las soluciones integrales de cloud computing de Akamai garantizan el rendimiento y una buena relación calidad-precio en la plataforma más distribuida del mundo. Las grandes empresas confían en Akamai por su fiabilidad, escalabilidad y experiencia inigualables en el sector, idóneas para crecer con seguridad. Obtenga más información en akamai.com/es y akamai.com/es/blog, o siga a Akamai Technologies en X, antes conocido como Twitter, y LinkedIn.