Una aseguradora líder cierra una gran brecha de seguridad en sus API

Fundada en Israel en 1978, Clal Insurance and Finance es todo un referente en los seguros y la gestión del ahorro largo plazo, y cuenta con un total de 332 000 millones de NIS* (90 870 millones de dólares) en activos bajo su control. A través de tres divisiones distintas, ofrece una amplia gama de servicios y productos a particulares y empresas. Los aproximadamente 4400 empleados de Clal trabajan codo con codo con 3700 agentes de seguros para facilitar un servicio de calidad y un soporte profesional a los clientes.

La empresa está completando una transformación digital basada en API para innovar de forma eficiente y consolidar su ventaja competitiva pionera en el intercambio de datos con partners empresariales, otras empresas de tecnología financiera y clientes. Sin embargo, este ecosistema de API también presenta una nueva vía de acceso para posibles amenazas, lo que supone un problema especialmente apremiante en Israel, una nación que suele ser objeto de ciberataques. Mediante la implementación de Akamai API Security, Clal Insurance and Finance alcanzó tres objetivos:

1. Detección e inventario automatizados de todas las API
2. Proceso de correcciones automatizado
3. Mejora de la estrategia de seguridad de API

Clal solía proteger sus sitios web con una solución de otra empresa, que cubría gestión del tráfico, eventos e información sobre seguridad, así como firewall de aplicaciones web. Sin embargo, esas medidas de seguridad se quedaron cortas con el importante y extenso inventario de API de la empresa.

El ecosistema de Clal incluye soluciones revolucionarias como Clal Express, un servicio web que permite a los clientes evitar gastos inesperados, y que la empresa quería gestionar y proteger de forma prioritaria ante el aumento de API en la organización.

Cuando llegó la COVID-19, Clal implementó una solución de puerta de enlace de API para centralizar el ecosistema de API que habían empezado a crear. "En ese momento me di cuenta de que carecía de una visión clara de las más de 600 API expuestas en nuestros sitios web y de las miles de API de toda la empresa", explica Haim Inger, director de Tecnología de Clal. 

Aunque la puerta de enlace de API proporciona información parcial sobre el entorno de API, no es una solución de seguridad. De hecho, las empresas que utilizan una puerta de enlace de API deben protegerla. "Cuando empezamos a buscar soluciones para proteger nuestra puerta de enlace de API, vi la diferencia entre dónde estábamos y dónde queríamos llegar en términos de seguridad de API", continúa Inger.

Como la empresa necesitaba visibilidad de su cartera de API y detectar cualquier amenaza o abuso en ellas, Inger y su equipo de seguridad evaluaron las soluciones disponibles. Además de poder comprobar las anomalías de las transacciones y minimizar los cambios de reglas para tener en cuenta el comportamiento de la API, la solución debía ser fácil de implementar.

Tras analizar tres soluciones, Inger se decantó por Akamai API Security. "Esperaba que la implementación llevara meses, pero para mi sorpresa, la integramos con F5, Splunk y todas nuestras API en solo cuatro días", apunta Inger.

Clal pudo beneficiarse de todas las ventajas de API Security nada más implementarla. A diferencia de las soluciones que requerirían que el equipo de seguridad de Clal revisara cada API y redactara reglas asociadas únicamente a comportamientos deseados, la solución de Akamai realiza automáticamente un inventario y evalúa el estado del ecosistema de API de Clal.

"No tuvimos que hacer nada para entender el estado de nuestras API. Después de incorporar sus datos tokenizados, la solución de Akamai indicó automáticamente lo que era necesario corregir y cómo hacerlo", explica Inger.

Tras la realización del inventario inicial y el análisis de las API de Clal, Akamai API Security realiza un inventario y análisis continuos del ecosistema. "El proceso de detección es muy importante porque proporciona información continua sobre qué API se están utilizando y cómo, y nos permite cerrar las API que ya no se usan", afirma Inger.

La solución de Akamai también explora y reporta constantemente vulnerabilidades y anomalías mediante una auditoría de riesgos y un análisis de comportamiento. Entre los ejemplos se incluyen la transferencia de datos de tarjetas de crédito de una manera no segura dentro de una API, o si un partner de fintech usa una API no autorizada. En todos los escenarios, API Security permite a Clal garantizar que ninguna de sus API sea un conducto de acceso para los ataques.

Inger y su equipo también apreciaron la capacidad de combinar la solución con API Security ShadowHunt, un servicio gestionado de búsqueda de amenazas que se sirve de los expertos analistas de Akamai especializados en la búsqueda de amenazas a las API. 

"Se nos avisa, por ejemplo, de patrones inusuales en cómo o con qué frecuencia se accede a nuestras API. Estas notificaciones nos permiten corregir inmediatamente cualquier vulnerabilidad y evitar que se acceda a los datos de nuestros clientes y que se vean comprometidos", afirma Inger.

Una visión precisa del ecosistema de API y las notificaciones instantáneas sobre posibles problemas no solo ayudan a fortalecer la postura de seguridad de Clal, sino que también consolidan las asociaciones y garantizan la continuidad del negocio. "Antes, simplemente cerrábamos la actividad si un partner de fintech resultaba atacado. Ahora podemos atajar la vulnerabilidad de una API y mantener la actividad de nuestras colaboraciones clave", explica Inger.

En su segundo año de adopción la satisfacción de Inger y su equipo con API Security y ShadowHunt es total. "La solución y el servicio cumplen lo prometido. Además, puesto que la seguridad de API está basada en la nube, no tenemos que mantenerla ni actualizarla", continúa Inger.

Por otro lado, la visión de 360 grados que Akamai proporciona a los entornos de desarrollo y producción de Clal, junto con las alertas de seguridad, son de un valor incalculable. "Akamai nos ayuda a garantizar la mejor estrategia de seguridad posible en nuestro entorno de API", concluye Inger. 

Clal Holdings es una compañía matriz que incluye empresas como Clal Insurance and Finance y la firma de tarjetas de crédito MAX. Clal Insurance Enterprises Holdings cotiza en la Bolsa de Valores de Tel Aviv, sin accionistas mayoritarios en su control. Alrov Real Estate and Hotels Ltd. posee el 14,1 % de las acciones de la compañía; Phoenix Group, el 7,0 %; Harel Group, el 6,6 %; y Shalom Shai (Dona Engineering & Construction Co. Ltd.), el 5,1 %. En términos de beneficios brutos, la cuota de mercado del grupo es del 15 % del sector de seguros (en 2022) y el volumen de activos que gestiona supera los 332 000 millones de NIS (a septiembre de 2023). En marzo de 2023, Clal adquirió Max de Warburg Pincus, un fondo de inversión estadounidense, y sus asociadas. Clal Group opera en diversas áreas de seguros y ahorros a largo plazo, como fondos de pensiones, previsión y fondos de formación anticipados, y seguros generales, como del hogar y coches, salud y tarjetas de crédito. Además, el grupo tiene una posición única entre las compañías de seguros hipotecarios y de crédito. Desde 2023, el grupo también ha estado activo en el sector de las tarjetas de crédito. Clal Group posee aseguradoras, fondos de pensiones, fondos de previsión, fondos de formación y una compañía de seguros de crédito. En diciembre de 2022, el grupo contaba con 4403 empleados en Clal Insurance and Finance y las agencias de seguros, y 1337 empleados en Max. Dicho esto, Clal se posiciona como uno de los principales grupos de seguros y ahorros a largo plazo de Israel.