Cómo Huntington redactó datos sensibles de más de 400 millones de documentos con AWS

Huntington Bank enfrentó el reto de limpiar un repositorio con más de 400 millones de documentos acumulados desde 2015. Mediante una arquitectura en AWS que combina Amazon Textract, Step Functions, SageMaker y herramientas de redacción, logró procesar y redactar esa enorme base de datos en meses en lugar de años.

Por Redaccion TD
Cómo Huntington redactó datos sensibles de más de 400 millones de documentos con AWS

Resumen del caso

Cuando un banco con casi una década de documentos acumulados necesita eliminar o proteger datos sensibles, el desafío no es solo técnico: es de escala, seguridad y cumplimiento. Huntington National Bank (Huntington), uno de los bancos top 10 de Estados Unidos, enfrentó exactamente esto en 2025: más de 400 millones de archivos en su sistema de gestión documental on-premises debían ser analizados y redactados por razones de cumplimiento.

En vez de realizar un proceso manual que habría durado años, Huntington diseñó una solución en AWS que redujo el trabajo a meses. La clave fue combinar servicios administrados con flujos orquestados que permiten alto paralelismo, monitoreo y retorno seguro de los resultados al entorno local.

Retos y requisitos del proyecto

Antes de diseñar la solución, Huntington definió criterios estrictos que guiaron la arquitectura:

  • Cifrado de datos en tránsito y en reposo.
  • Control estricto de accesos y ubicaciones de almacenamiento.
  • Uso de servicios que entren en el alcance de PCI DSS cuando corresponde.
  • Replicación de los resultados procesados de regreso al almacenamiento on-premises.
  • Precisión de redacción que cumpliera o superara el 95% para requisitos regulatorios.

Además, los documentos estaban en formatos variados (imágenes, PDFs, formularios escaneados), por lo que la solución debía ser flexible para diferentes tipos de archivo y ofrecer el rendimiento necesario para procesar millones de documentos por día.

Arquitectura y servicios clave

La solución combinó varios servicios AWS y componentes on-premises para cubrir transferencia, extracción, orquestación, clasificación, redacción y sincronización de salida:

  • Transferencia y almacenamiento: AWS DataSync, AWS Direct Connect, Amazon S3 y AWS KMS.
  • Extracción de texto y campos: Amazon Textract.
  • Orquestación y escalado: AWS Step Functions (con map state en modo distribuido) y AWS Lambda.
  • Machine learning y validación: Amazon SageMaker (parte del workflow escalable).
  • Monitoreo: Amazon CloudWatch.

Este conjunto permitió mover datos con seguridad, ejecutar detección automática de campos sensibles, orquestar ejecuciones concurrentes y gestionar la posterior redacción y retorno de archivos.

Mover datos con seguridad

Para procesar los 400M+ documentos, Huntington necesitó moverlos desde un file share on-premises a Amazon S3 con cifrado en tránsito y en reposo. Para ello utilizó AWS DataSync desplegado como agente en su centro de datos, combinado con AWS Direct Connect para enlaces dedicados cuando fue necesario y AWS KMS para la gestión de claves.

Un requisito crítico era también la capacidad de sincronizar los resultados procesados de vuelta a los repositorios on-premises; DataSync cubre ambos sentidos, lo que facilitó cumplir esa condición.

Detección: Amazon Textract y orquestación con Step Functions

Amazon Textract fue el componente central para extraer texto, tablas y campos de documentos escaneados. Textract no solo extrae cadenas de texto, sino que devuelve metadatos y coordenadas de los campos detectados en formato JSON, lo que permite localizar exactamente dónde deben aplicarse las redacciones.

Huntington orquestó las invocaciones de Textract usando AWS Step Functions. La orquestación automatizada permitió reducir la carga de revisiones manuales y mejorar la consistencia en la detección de datos sensibles como números de seguridad social, cuentas y direcciones.

Además, Textract ofrece puntajes de confianza para cada detección, lo que facilita definir umbrales que disparen revisiones humanas cuando la confianza es baja.

Escalado y manejo de cuotas

Procesar documentos uno por uno habría extendido el proyecto a años. Para alcanzar la capacidad de procesar millones de documentos por día, la solución necesitó maximizar la concurrencia sin exceder las cuotas del servicio y evitar throttling.

Puntos clave que implementaron:

  • Incrementar cuotas de Textract a través del console de AWS Service Quotas cuando fue necesario.
  • Usar el estado map de AWS Step Functions en modo distribuido para procesar colecciones de documentos (estructuradas en JSON) con alto paralelo.
  • Monitorear métricas en Amazon CloudWatch: tiempos de respuesta, conteos de throttling, éxitos y errores.
  • Ajustar dinámicamente los límites de concurrencia en ejecuciones hijo para mantener la operación dentro de las cuotas mientras se preserva alto rendimiento.

Cuando Textract completaba trabajos con éxito, los metadatos y campos detectados se escribían en un bucket S3 para etapas posteriores, y la máquina de estados verificaba con bloques de espera y comprobaciones que todo estuviera listo antes de continuar. En caso de fallos, Step Functions registraba eventos para revisión humana y reprocesamiento.

Redacción de información sensible y retorno on-premises

La detección produjo ubicaciones y metadatos; la redacción requirió aplicar esos coordenadas a los documentos originales. Huntington combinó la salida de Textract con soluciones de redacción que pueden incluir bibliotecas open source como PyMuPDF o PIL para imágenes y PDFs. Textract facilita esto al proporcionar las coordenadas precisas y la posibilidad de usar patrones regex personalizados para clasificar campos adicionales.

Una vez redactados, los archivos debían replicarse de regreso al almacenamiento local. DataSync permitió sincronizar los resultados procesados al entorno on-premises, cumpliendo con el requisito de mantener copias locales.

Rol de SageMaker y Lambda

Si bien Textract se encargó de la extracción, la arquitectura incluía Amazon SageMaker y AWS Lambda como componentes para expandir capacidades:

  • Lambda se utilizó para funciones event-driven, transformación ligera de datos, y disparo de workflows.
  • SageMaker formó parte del diseño escalable para escenarios donde se requerirían modelos personalizados (por ejemplo, clasificación adicional o modelos de validación). La inclusión de SageMaker en la arquitectura brindó la flexibilidad de incorporar modelos de ML entrenados cuando las reglas basadas en patrones no fueran suficientes.

Lecciones prácticas para organizaciones en América Latina

Aunque este caso se centra en un banco estadounidense, las necesidades —seguridad, cumplimiento, manejo de grandes volúmenes de documentos y retorno de datos al entorno local— son comunes en instituciones financieras y empresas grandes en América Latina. Puntos prácticos:

  • Definan requisitos de cumplimiento desde el inicio (cifrado, zonas de datos, certificaciones como PCI DSS si aplican).
  • Evalúen combinar Textract para extracción con Step Functions para orquestación y DataSync para transferencias masivas.
  • Monitoricen activamente cuotas y métricas para ajustar concurrencia y evitar throttling.
  • Planifiquen un mecanismo claro para manejar detecciones de baja confianza (umbral + revisión humana).

Conclusión

Frente al reto de procesar y redactar más de 400 millones de documentos, Huntington aprovechó una arquitectura en AWS que combinó extracción automática, orquestación distribuida, monitoreo y sincronización segura. El resultado fue transformar un proyecto estimado en años a uno completado en meses, con controles de seguridad y cumplimiento integrados.

Para empresas latinoamericanas que enfrentan grandes volúmenes documentales, este caso muestra cómo integrar servicios administrados y prácticas de diseño para lograr escala, seguridad y trazabilidad sin depender exclusivamente de procesos manuales.

Fuente original: AWS ML Blog