El objeto vulnerable no es un discurso electoral, un comunicado, un titular de demanda o un eslogan de política pública. Es una línea en un libro mayor de registro. Un bloque IPv4 tiene un nombre de titular, un identificador de organización, contactos, campos de estado, referencias de mantenedor, delegación de DNS inverso, consecuencias de seguridad de enrutamiento, historial de transferencias, estado de tarifas, contexto de disputa y suficiente reconocimiento institucional para ser tratado por compradores, arrendadores, prestamistas, clientes y tribunales como el registro público actual de control. La línea puede parecer administrativa. No lo es. Puede ser alterada, regularizada, congelada, transferida, certificada, cuestionada, restaurada o puesta bajo revisión. Cada verbo tiene una consecuencia de mercado.

Imagine un escaso /16 administrado por AFRINIC que se ha convertido en parte del balance y la base de clientes de un proveedor de alojamiento. Un comprador pregunta por la cadena de transferencia. Un prestamista pregunta si el registro está limpio. Un cliente pregunta si el enrutamiento continuará. Un equipo de abuso pregunta qué contacto es responsable. Un equipo de enrutamiento pregunta si los ROA, los objetos de ruta y los registros de DNS inverso sobrevivirán a un cambio de control corporativo. Un tribunal pregunta cuál era el último estado verificado antes de que comenzara una disputa.

El oficial de registro que maneja el archivo ve un ticket, documentos, credenciales del portal, un registro de titular antiguo, una historia de propiedad y una actualización propuesta. La pregunta económica es simple: ¿quién puede tocar el registro, bajo qué autoridad, con qué evidencia, con la aprobación de quién, bajo qué declaración de conflicto, con qué rastro público y bajo qué revisión posterior? Si esas preguntas se responden por costumbre, personalidad o escalada privada, el registro ha convertido la confianza pública en un mercado de influencias. Si se responden mediante controles, el registro puede seguir siendo utilizable incluso cuando la institución que lo rodea está bajo presión.

Esa es la escena en la que el riesgo de corrupción se convierte en riesgo de infraestructura. El peligro no es solo un soborno crudo pasado por un escritorio. Es un empleado interno que sabe qué organizaciones inactivas tienen registros débiles. Es un consultor o corredor que sabe qué brecha procesal se puede explotar. Es un aliado de la junta que puede impulsar una interpretación de política que cambie el valor. Es una lista de candidatos que puede heredar el control después de una elección débilmente verificada. Es una decisión tomada en época de sindicatura por continuidad pero que carece de una cadena pública de autoridad. Es una transferencia cuyo papeleo es lo suficientemente correcto para pasar pero no lo suficientemente transparente para tranquilizar al mercado. Es un poder notarial que aparece en un escritorio de votación o en un archivo de registro sin que el miembro afectado entienda cómo llegó allí.

AFRINIC importa porque todos estos riesgos ya no son teóricos. Los informes públicos han descrito acusaciones de manipulación histórica de registros IPv4 africanos, esfuerzos institucionales posteriores para reparar o vigilar el uso de recursos, una gran disputa con Cloud Innovation, procesos judiciales en Mauricio, congelaciones bancarias, sindicatura, intentos de elección fallidos o anulados, disputas sobre poderes notariales, esfuerzos para reconstruir una junta y luchas continuas sobre la autoridad del registro. Algunas afirmaciones son acusaciones. Algunos son eventos procesales reportados. Algunos asuntos han estado ante los tribunales. Algunos siguen siendo controvertidos. La cuestión del control de la corrupción no requiere convertir cada acusación en un veredicto. Requiere reconocer que un registro que posee registros escasos, valiosos y operacionalmente integrados no puede depender de la virtud institucional.

La economía institucional es más fría que la retórica. La escasez de IPv4 convirtió los registros en infraestructura de mercado. Un registro que puede alterar el reconocimiento, pausar una transferencia, aceptar un firmante, certificar una afirmación de origen de ruta, publicar o retirar datos de contacto, o definir un estado de disputa se sitúa en una puerta entre las redes en funcionamiento y el valor de capital. Si esa puerta es opaca, los participantes del mercado añaden una prima de riesgo. Si la puerta es auditable, separada, de doble control y evidenciada, la prima cae. AFRINIC es, por lo tanto, un caso de prueba para una proposición más amplia: los controles anticorrupción no son mantenimiento administrativo alrededor del registro. Son parte del precio, la liquidez y la legitimidad del propio mercado de recursos numéricos.

El registro es donde entra el riesgo de corrupción

La corrupción en un registro se entiende mejor como la conversión no autorizada de la discreción del registro en ventaja privada. Esta definición es más amplia que el soborno criminal y más estrecha que la disfunción general. Pregunta qué poder puede cambiar el estado reconocido de un registro valioso, y si ese poder puede ejercerse sin un rastro fiable. Una persona que puede mover un nombre de titular, aprobar una transferencia, suprimir una disputa, alterar la autoridad de contacto, regularizar una inconsistencia antigua o retrasar la transacción de un rival puede afectar el valor incluso si no se ve dinero cambiando de manos.

Esto separa los controles de riesgo de corrupción de tres problemas institucionales relacionados en la historia reciente de AFRINIC. El debido proceso pregunta qué notificación, razones, subsanación y apelación debe recibir un titular después de una decisión adversa del registro. La resolución de disputas pregunta qué foro debe decidir las reclamaciones controvertidas y cómo las soluciones deben aislar el conflicto. La continuidad de la sindicatura pregunta cómo el registro sigue operando cuando la gobernanza ordinaria ha fallado. Los controles de riesgo de corrupción hacen una pregunta anterior diferente: ¿cómo evita la institución que el registro, el foro, la elección y el respaldo de emergencia sean silenciosamente torcidos por personas internas o externas organizadas antes de que alguien llegue a una apelación?

La respuesta comienza con los cambios de estado. Un archivo de registro tiene muchos estados. Un bloque puede estar activo, reservado, bajo revisión, en transferencia, en disputa, congelado, reclamado, devuelto, certificado para RPKI, delegado para DNS inverso o vinculado a una organización y un conjunto de contactos en particular. Cada estado debe tener una fuente de autoridad definida. Un recibo de pago no debe autorizar una transferencia. Una resolución de la junta no debe reescribir silenciosamente un registro técnico. Un ticket del personal no debe anular una orden judicial. Un poder notarial no debe convertirse en un cheque en blanco para acciones de registro no relacionadas. El mandato de preservación de un síndico no debe extenderse a una política permanente de asignación de valor sin una pista de autoridad separada.

El control de cambio de estado también es donde la evidencia pública y privada se encuentran. Parte del material no puede exponerse completamente: documentos de identidad, credenciales, comunicaciones legales privilegiadas, evidencia de seguridad, informes de abuso e indicadores de fraude pueden requerir redacción. Sin embargo, la existencia del control puede ser pública. El mercado no necesita cada escaneo de pasaporte. Necesita saber que la identidad fue verificada por alguien independiente del solicitante, que el miembro del personal no tenía conflicto registrado, que una segunda aprobación fue registrada, que el cambio tiene una marca de tiempo, que el estado anterior es recuperable, y que un cambio en disputa puede ser aislado sin borrar la evidencia.

En asociaciones ordinarias, tales controles podrían parecer higiene de gobernanza interna. En un registro posterior al agotamiento, son infraestructura económica. El titular de un gran bloque IPv4 no puede decirle a un cliente o prestamista que el registro es seguro simplemente porque el registro dice que actúa con integridad. El titular necesita confiar en un sistema en el que la alteración indebida es difícil, detectable y reversible. Un registro que no puede proporcionar esa confianza se convierte en una fuente de riesgo en lugar de un reductor de riesgo.

La historia pública de AFRINIC muestra por qué esto importa. La institución ha sido descrita como sin junta durante largos períodos, sujeta a sindicatura, expuesta a litigios y desafiada en cuanto a elecciones y autoridad de los miembros. Esas condiciones no prueban corrupción en ningún acto determinado. Sí reducen la tolerancia del mercado a la discreción no documentada. Cuando una institución está bajo estrés, el riesgo de corrupción aumenta no solo porque las personas se vuelven deshonestas, sino porque los controles normales se vuelven más fáciles de eludir en nombre de la urgencia, la estrategia legal, la presión facciosa o la supervivencia institucional.

La primera disciplina, entonces, es nombrar el objeto. El objeto no es la "confianza de la comunidad" en abstracto. Es la custodia de la autoridad sobre los registros de números escasos. Una vez que se nombra el objeto, el diseño del control se vuelve menos teatral. Las preguntas relevantes se vuelven operativas: ¿quién tenía la clave, quién verificó el archivo, quién vio el conflicto, quién aprobó la excepción, quién preservó el estado anterior, quién puede reconstruir el cambio y quién puede desafiarlo sin perder la continuidad del servicio mientras se escucha el desafío?

La escasez hizo valiosa la discreción

El modelo de registro anterior a la escasez se construyó para un mundo de menor valor. Un registro regional de Internet distribuía números únicos, mantenía datos de registro y apoyaba la coordinación entre redes. El servicio importaba, pero muchas decisiones podían tratarse plausiblemente como administrativas. El agotamiento de IPv4 cambió el objeto bajo administración. Las direcciones se volvieron escasas, con precio, arrendadas, comercializadas, financiadas y litigadas. El registro no se convirtió en un banco, una oficina de tierras o un depositario de valores en la ley. Sin embargo, comenzó a ejercer autoridad práctica sobre registros que los mercados utilizan de manera similar a la infraestructura de título, custodia y liquidación.

El análisis de 2021 del Internet Governance Project capturó la presión económica. Señaló que AFRINIC tenía una pequeña parte del espacio IPv4 global, llegó tarde al sistema RIR y, durante un período, siguió siendo la región con el fondo libre más significativo disponible a precios administrativos. También describió el precio del mercado de transferencias subiendo de aproximadamente 8 dólares por dirección IPv4 en 2017 a unos 30 dólares en 2021, lo que hace que un /16 valga alrededor de 2 millones de dólares en ese momento. Los precios se mueven. La implicación institucional permanece: una decisión del personal sobre un bloque ya no es un acto de archivo de bajo riesgo.

La escasez crea tres superficies de corrupción. La primera es la asignación y recuperación. Cuando los recursos del fondo libre se racionan, la persona que puede determinar la necesidad, integridad, elegibilidad o cumplimiento puede alterar quién recibe valor. La segunda es la transferencia y regularización. Cuando las direcciones pueden moverse en un mercado secundario, la persona que puede aceptar una cadena de autoridad o rechazar un archivo de transferencia puede afectar la liquidación. La tercera es la aplicación y el control del estado de disputa. Cuando se acusa a un bloque de mal uso, fraude o autoridad defectuosa, la persona que puede congelar, marcar, certificar o desmarcar el recurso puede afectar el poder de negociación.

Estas superficies importan incluso si un registro insiste en que los recursos numéricos no son propiedad ordinaria. Esa doctrina puede describir la visión formal del registro sobre la relación de recursos. No borra la dependencia del mercado. Los operadores siguen pagando por transacciones, firmando arrendamientos, soportando clientes, transportando rutas, manteniendo afirmaciones de seguridad y valorando la continuidad. El riesgo de corrupción se adhiere a esa dependencia. Si un empleado del registro, miembro de la junta, consultor, corredor o participante políticamente conectado puede influir en un registro sin ser expuesto por los controles, el mercado ve un guardián con poder asimétrico.

El material oficial es útil aquí solo como exhibición fáctica. AFRINIC es un RIR sin fines de lucro registrado en Mauricio que sirve a África y partes del Océano Índico. Sus materiales públicos identifican funciones como la gestión de IPv4, IPv6 y ASN, la operación de Whois y RDAP, el apoyo al DNS inverso, IRR y RPKI, y el procesamiento de solicitudes de recursos bajo política. El material de agotamiento describe fases de aterrizaje suave, evaluación del hostmaster, revisión por pares y mecanismos de aprobación. Esos hechos muestran el proceso institucional. No prueban por sí mismos que el proceso sea suficiente para un control de corrupción de grado de activo.

Un proceso de grado de activo trata la discreción como un costo a justificar. Un solo oficial de personal no debería poder mover un registro de alto valor de un estado práctico a otro sin verificación independiente. Una sola facción de la junta no debería poder cambiar la economía de las transferencias sin revisión de conflictos y análisis de dependencia. Una sola estrategia legal no debería contaminar el mantenimiento neutral de registros. Una sola urgencia de la época de sindicatura no debería convertirse en un canal para la captura silenciosa. Cuanto mayor sea el valor de mercado del recurso, más debe separar el registro el juicio de la ejecución.

Esto no es un llamado a hacer que el registro sea lento por sí mismo. Los mercados escasos necesitan velocidad. Una transferencia que tarda meses porque cada control es manual y discrecional crea su propio riesgo de corrupción: los participantes comienzan a buscar atajos. El mejor modelo es objetivo y rápido donde la evidencia es estándar, más lento y documentado donde la evidencia es conflictiva, y revisable de forma independiente donde la decisión afecta el valor. El riesgo de corrupción cae cuando los participantes conocen el camino y no pueden mejorarlo mediante acceso privado.

El punto también explica por qué el viejo lenguaje de gobernanza ahora parece insuficiente. La "administración" importaba cuando el riesgo central era el desperdicio de un fondo común. En un mercado escaso, la administración debe incluir custodia, auditoría y disciplina de liquidación. El registro todavía sirve a una comunidad, pero la comunidad no puede ser protegida solo por buena voluntad. Está protegida cuando la institución hace que la discreción valiosa sea costosa de abusar.

El presunto robo de direcciones fue una advertencia de procedencia

La exhibición más directa del riesgo de corrupción de AFRINIC sigue siendo el informe público sobre la presunta manipulación histórica de direcciones. KrebsOnSecurity informó en diciembre de 2019 que las acusaciones siguieron a una investigación de varios años del investigador Ron Guilmette sobre bloques IPv4 africanos que parecían haber pasado a manos de empresas de marketing en Internet fuera del contexto de asignación original. El informe describió acusaciones de que Ernest Byaruhanga, ex coordinador de políticas de AFRINIC y miembro temprano del personal, operaba en secreto o estaba vinculado a empresas que vendían espacio de direcciones escaso, y que los registros vinculados a entidades africanas inactivas o extintas habían sido alterados. Guilmette estimó el valor de mercado de los recursos documentados en más de 50 millones de dólares.

Esas declaraciones requieren disciplina. Un informe, una acusación y una investigación no son lo mismo que un hallazgo adjudicado final. El registro público relevante incluye reclamaciones, respuestas, consecuencias laborales, investigaciones institucionales, esfuerzos de remediación y litigios posteriores en torno a recursos recuperados o en disputa. Un artículo sobre controles de riesgo de corrupción no debe convertir cada afirmación reportada en un hecho probado. El punto más fuerte es institucional: si los hechos alegados pudieran siquiera parecer plausibles en un entorno de registro, el sistema de procedencia ya era demasiado débil para el valor que estaba protegiendo.

La procedencia es la historia de cómo el registro llegó a ser lo que es. Para un bloque IPv4 escaso, la procedencia debe responder varias preguntas sin folclore. ¿Quién recibió primero el recurso? ¿Bajo qué política y documentos? ¿Qué organización existía entonces? ¿Se fusionó, disolvió, renombró, vendió activos o dejó de operar? ¿Quién tenía autoridad para solicitar actualizaciones? ¿Qué miembro del personal procesó cada cambio consecuente? ¿Fue la solicitud revisada por pares? ¿Se verificaron los conflictos? ¿Se notificó a los antiguos titulares o sucesores? ¿Se publicó el cambio? ¿Se preservaron las marcas de disputa? ¿Podría un revisor posterior reconstruir la cadena sin depender de la memoria de la persona que hizo el cambio?

Los registros inactivos son especialmente peligrosos. Un operador activo nota cuando se toca su prefijo. Una empresa disuelta, una unidad de negocio adquirida, un contacto obsoleto o una asignación no utilizada durante mucho tiempo puede que no. El informante que conoce la población inactiva tiene información que el mercado no tiene. Si los controles de cambio son débiles, el mismo conocimiento se convierte en oportunidad económica. El control de la corrupción no es un comunicado de prensa prometiendo un mejor comportamiento. Es un sistema que trata los registros inactivos, heredados e históricos como registros de alto riesgo que requieren una procedencia mejorada antes de cualquier cambio de estado material.

El presunto robo también muestra por qué la anticorrupción no puede significar solo una aplicación más fuerte contra los titulares de recursos. Un registro que emerge de acusaciones de manipulación de registros puede verse tentado a responder expandiendo las auditorías de los modelos de negocio de los miembros, la geografía de uso o la práctica de arrendamiento. Cierta revisión es legítima donde se sospecha fraude o autoridad falsa. Sin embargo, la reparación de la corrupción no debe convertirse en una licencia general para la vigilancia comercial discrecional. La enfermedad original era un control débil sobre quién podía cambiar el registro y con qué evidencia. La cura debería ser controles de evidencia más fuertes, no una nube permanente sobre el modelo operativo de cada titular.

La consecuencia de mercado es clara. Un comprador o prestamista que considere un bloque registrado en AFRINIC debe preguntarse si los registros antiguos están limpios, si los cambios históricos pueden ser rastreados y si el reconocimiento del titular actual podría ser impugnado más tarde. Si la respuesta es incierta, el bloque lleva un descuento de procedencia. Ese descuento no castiga solo a los presuntos malhechores. Afecta a los titulares honestos, las redes pequeñas y la reputación de la región como un entorno de registro confiable.

La evidencia pública importa incluso cuando se retienen detalles sensibles. Un registro puede publicar categorías de remediación: número de bloques históricos revisados, número puestos en estado de disputa, número corregidos, número remitidos a tribunales o fuerzas del orden, número restaurados a titulares anteriores, número dejados sin cambios después de revisión independiente, y los cambios de control adoptados para prevenir la recurrencia. Tales divulgaciones no expondrían documentos privados. Le dirían al mercado que el problema de procedencia se ha convertido de rumor en evidencia gobernada.

La lección no es que AFRINIC deba volver a litigar cada acusación histórica en prosa pública. La lección es que la procedencia es un activo preventivo. Si la cadena de transferencia, la revisión de registros inactivos, el registro de acceso del personal y el archivo de autoridad son lo suficientemente fuertes, una acusación posterior tiene un lugar donde aterrizar. Si son débiles, cada acusación se convierte en un ataque amplio a la integridad del registro porque nadie puede separar fácilmente un mal archivo de una mala institución.

La separación de funciones convierte la integridad en un sistema

La separación de funciones es la lección anticorrupción más antigua en los sistemas administrativos: la persona que recibe una solicitud no debe aprobarla, ejecutarla, conciliarla y ocultar su pista de auditoría sola. En un registro, la idea debe tratarse con la seriedad de la infraestructura de liquidación. El miembro del personal que ayuda a un miembro a completar un archivo no debe ser el aprobador final de una transferencia de alto valor. La persona que investiga el fraude sospechoso no debe ser la persona que decide el remedio comercial. El miembro de la junta con una preferencia de política no debe dirigir la acción del personal en un archivo de recursos activo. El síndico o administrador de emergencia no debe mezclar la autoridad de preservación con el control discrecional del mercado.

La razón es económica, no meramente ética. Cada rol combinado reduce el costo de la captura. Si un solo oficial puede interpretar la política, validar documentos, aprobar un cambio de estado y suprimir el rastro, un sobornador o informante necesita influir en una persona. Si se requieren funciones independientes, cada una con registros y mandatos estrechos, la corrupción se vuelve más difícil y más visible. El mercado valora esa diferencia. Un mercado de transferencias con controles separados puede liquidar más rápido porque las contrapartes confían en el proceso. Un mercado con controles fusionados exige amortiguadores legales, indemnizaciones y demoras.

Los procesos existentes de AFRINIC ya contienen cierta separación limitada. El material público de agotamiento describe la evaluación del hostmaster, la revisión por pares por otro hostmaster y la aprobación final por un gerente de servicios de registro para ciertas solicitudes IPv4. Esa es una exhibición fáctica útil. Debe extenderse a una arquitectura completa de control de corrupción para todas las acciones de alta consecuencia: asignación, transferencia, reclamación, estado de disputa, reconocimiento de autoridad de miembro, autoridad de contacto, cambios de DNS inverso, cambios de estado RPKI y restauración después de irregularidad histórica.

La separación requerida tiene varias capas. La admisión verifica la integridad e identidad básica. La revisión de evidencia evalúa la autoridad corporativa, la cadena de control y el estado del recurso. La revisión técnica examina la unicidad, los efectos adyacentes al enrutamiento, RPKI, DNS inverso y las consecuencias del servicio de publicación. La revisión legal o de política evalúa las restricciones formales sin decidir solo cuestiones fácticas. La revisión de conflictos verifica si el personal, los miembros de la junta, consultores, candidatos, corredores o contrapartes tienen intereses en el resultado. La ejecución cambia el registro solo después de que las capas anteriores hayan producido una decisión registrada. La auditoría revisa una muestra y todos los casos excepcionales después del hecho.

El límite junta-personal es crítico. Una junta debe establecer políticas, presupuesto y reglas de supervisión. No debe convertirse en un escritorio de escalada privado para archivos de recursos particulares. La tentación es obvia en una crisis: los directores reciben quejas, argumentos legales, cabildeo y presión política. Pero una vez que los directores pueden dirigir cambios en registros activos, la política de la junta entra en el libro mayor. Eso es un riesgo de corrupción incluso si cada director actúa de buena fe. El control es exigir que cualquier asunto de recursos visible para la junta sea registrado, enrutado al proceso de personal adecuado y divulgado en agregado o, cuando sea material, con suficiente información pública para mostrar que ningún canal privado cambió el resultado.

El límite miembro del personal también importa. Un oficial de personal que maneja registros de recursos debe tener intereses externos declarados, límites de enfriamiento con corredores y consultores, acceso restringido a registros inactivos, uso monitoreado de herramientas privilegiadas y licencia obligatoria o rotación para funciones sensibles. Nada de esto asume culpa. Asume que la familiaridad con los puntos débiles del registro tiene valor económico. Los informes públicos sobre la manipulación histórica del espacio IPv4 africano hicieron esa suposición inevitable.

La separación también protege al personal. Un empleado del registro en una institución de alto conflicto no debe ser forzado a llevar todo el riesgo de una decisión controvertida solo. La doble revisión, las razones escritas y los registros de conflictos distribuyen la responsabilidad y hacen que las represalias sean más difíciles. El personal que puede señalar una cadena regida por reglas está menos expuesto a la presión de directores, litigantes, corredores, gobiernos o grupos activistas. Los buenos controles, por lo tanto, no son anti-personal. Son anti-presión.

El mismo principio debe aplicarse a la tecnología. Las credenciales que pueden editar registros del registro deben separarse de las credenciales que aprueban excepciones de políticas, publican avisos públicos, gestionan material RPKI, procesan cambios de DNS inverso o alteran el estado de membresía electoral. Una cuenta comprometida no debe convertirse en una llave maestra. Un miembro del personal de confianza no debe volverse indispensable porque nadie más puede verificar lo que esa persona hizo. La separación de funciones es, en última instancia, una negativa a permitir que la confianza se convierta en un punto único de fallo.

El doble control debe cubrir cada toque de alta consecuencia

El doble control es el hermano práctico de la separación de funciones. Dice que ciertas acciones requieren dos o más aprobaciones independientes antes de la ejecución. El modelo es común en banca, custodia, operaciones de seguridad e infraestructura crítica porque algunos errores y abusos son demasiado costosos para el control de una sola llave. Un registro regional debe aplicar el mismo principio a las acciones que alteran el estado reconocido de los recursos numéricos escasos.

La lista de acciones no es difícil de definir. El doble control debe cubrir transferencias, pasos de reclamación o revocación, restauración de recursos previamente en disputa, cambios en los registros de titular de organización, aceptación de un nuevo representante autorizado, cambios significativos en la delegación de DNS inverso, acciones de certificado RPKI o ROA con consecuencias de continuidad, publicación de una marca de disputa, eliminación de una marca de disputa, cambios en registros inactivos o históricamente contaminados, y cualquier excepción al proceso normal. Si un cambio puede afectar el valor del activo, la continuidad del cliente o el poder de negociación legal, no debe ser un acto de una sola persona.

El doble control debe ser independiente, no teatral. Dos personas en la misma línea de reporte que aprueban bajo la presión del mismo gerente pueden no ser suficientes. Un control real separa las funciones. Una persona verifica la evidencia. Otra verifica la autoridad y el cumplimiento procedimental. Para las acciones de mayor riesgo, un tercer control verifica los conflictos y confirma que ninguna orden judicial, instrucción del síndico o disputa pendiente requiere la preservación del último estado verificado. El punto no es crear un laberinto de vetos. El punto es asegurar que un actor corrupto o presionado no pueda mover el libro mayor solo.

El control debe ser visible en los metadatos incluso cuando los detalles son privados. Un registro de cambios público o visible para los miembros puede mostrar que una acción de alta consecuencia pasó por doble control, que se completó una verificación de conflictos, que existe un paquete de evidencia redactado, que hay una ruta de revisión disponible y que el estado anterior está archivado. El mercado no necesita los nombres personales de cada revisor del personal en cada caso. Necesita una garantía verificable de que el cambio no fue un acto indocumentado de una sola llave.

El manejo de excepciones es donde el doble control es más importante. Las emergencias son un canal clásico de corrupción. Una cuenta comprometida, una orden judicial, una instrucción del síndico, una fecha límite electoral, un evento de seguridad o una amenaza legal pueden justificar la velocidad. La velocidad puede ser legítima. También puede ser explotada. El control es una anulación de emergencia que requiere publicación posterior a la acción: qué categoría de emergencia, qué acción temporal, qué autoridad, cuándo ocurrió la revisión independiente, qué estado se preservó y si la acción se volvió permanente. El secreto de emergencia debe expirar a menos que una razón judicial o de seguridad requiera una redacción continua.

RPKI merece una mención especial. Una autorización de origen de ruta o estado de certificado es técnico, pero su gobernanza no es solo técnica. Los cambios pueden afectar cómo las partes confiadas tratan las rutas. Un registro debe tratar los controles de continuidad de RPKI como parte del diseño anticorrupción porque los servicios de seguridad pueden convertirse en palanca si están enredados con disputas de membresía, disputas de tarifas o desacuerdos comerciales. El doble control debe evitar que cualquier persona use un servicio de seguridad de enrutamiento como herramienta de aplicación privada. Las afirmaciones de seguridad deben ser neutrales, auditables y aisladas de conflictos institucionales no relacionados.

El DNS inverso, Whois y RDAP también requieren pensamiento de doble control. Estos servicios pueden parecer menos dramáticos que una transferencia de recursos, sin embargo, son parte de la confianza operativa. Una actualización de contacto maliciosa o indebida puede redirigir la responsabilidad. Un cambio de DNS inverso puede afectar la reputación, la entregabilidad del correo y las operaciones del servicio. Un registro Whois o RDAP puede moldear el archivo de diligencia debida en una transacción. Los controles deben escalar con la consecuencia, pero el principio permanece: cuanto más afecta un cambio la dependencia externa, menos debe depender de un solo actor.

La sindicatura y el historial electoral de AFRINIC refuerzan el caso. Cuando la gobernanza ordinaria está en disputa, el mercado no puede confiar en suposiciones informales sobre quién está a cargo. El doble control se convierte en un sustituto de la legitimidad asentada. Les dice a los miembros que, incluso si la junta, el síndico o el proceso judicial está impugnado, los cambios operativos del libro mayor aún requieren evidencia limitada y aprobación independiente. Así es como un registro preserva la confianza mientras la institución a su alrededor lucha.

La procedencia de las transferencias es infraestructura antisoborno

Una transferencia IPv4 es un evento de liquidación económica. Puede llamarse una actualización de registro, pero el dinero, los compromisos con los clientes, el tratamiento fiscal, los acuerdos de depósito en garantía y el enrutamiento futuro dependen de que la actualización sea reconocida. Eso convierte la procedencia de la transferencia en el sistema antisoborno del registro. Si la cadena de transferencia es clara, los intentos de comprar influencia tienen menos espacio para funcionar. Si la cadena es opaca, el acceso privado se vuelve valioso.

La procedencia de la transferencia debe comenzar antes de que la solicitud de transferencia llegue al registro. El control del vendedor debe ser evidenciado. La identidad y autoridad del comprador deben ser verificadas. El estado del recurso debe verificarse por disputas, congelaciones, órdenes judiciales, obligaciones impagas y afirmaciones de seguridad existentes. La cadena de control previo debe estar disponible al menos en forma redactada donde los registros antiguos sean materiales. El registro debe registrar qué tipo de evidencia satisfizo cada requisito y si se otorgó alguna excepción. Una transferencia limpia no es aquella en la que a todos les gustan las partes. Es aquella en la que cada cambio de estado puede ser reconstruido.

Aquí es donde la controversia de AFRINIC sobre el uso fuera de la región, el arrendamiento y las restricciones de transferencia se cruza con los controles de corrupción. Un registro que utiliza una amplia discreción para decidir si un modelo comercial es aceptable crea valor de negociación privado alrededor del proceso de aprobación. Los participantes tratarán de aprender qué miembro del personal es comprensivo, qué facción de la junta importa, qué consultor puede interpretar la regla, qué argumento político ayudará y qué retraso puede ser usado como arma. Los criterios de transferencia objetivos reducen esa superficie de corrupción. Hacen que el registro sea menos interesante como guardián.

Los criterios objetivos no significan que no haya controles. La prevención del fraude debe ser estricta. Un documento falsificado, un sucesor falso, una credencial robada, una disputa no revelada o una identidad falsa deben detener la transacción. Pero la detención debe estar vinculada a la evidencia, no al sentimiento. Un archivo de transferencia debe fallar porque un elemento requerido falta o es contradictorio, no porque al registro no le guste el arrendamiento, tema la movilidad de activos o quiera preservar el control regional sobre el valor. Cuando la moralidad comercial se convierte en parte de la prueba de aprobación, la prueba de aprobación se vuelve vulnerable al cabildeo.

El análisis de 2021 del Internet Governance Project sobre la disputa de Cloud Innovation ilustra el problema. Describió las preocupaciones de AFRINIC sobre el uso registrado, el uso real, las representaciones de necesidad y las obligaciones de servicio regional, y también describió el argumento de Cloud Innovation de que exigir aprobación para cambios en el uso del cliente o del servicio podría convertir al registro en un planificador central sobre las redes operativas. No es necesario adoptar la posición legal completa de ninguna de las partes para ver la lección del control de la corrupción. Si el poder de control de transferencia o uso del registro es abierto, los actores privados competirán para influir en ese poder. Si el papel del registro es estrecho y basado en evidencia, la influencia tiene menos que comprar.

La procedencia de la transferencia debe incluir evidencia negativa. Si se rechaza una transferencia, el rechazo debe indicar el elemento exacto que falló. Si se agrega una marca de disputa, la fuente de la disputa debe identificarse a nivel de categoría: orden judicial, reclamo de autoridad corporativa rival, acusación de fraude, problema de tarifa impaga, barrera de política o inconsistencia técnica. Si se pausa una transferencia, el último estado verificado debe permanecer público. Si una disputa se resuelve posteriormente, la ruta de resolución debe registrarse. Los mercados pueden poner precio a un problema conocido. Descuentan lo desconocido.

Los corredores y los grandes titulares deben estar dentro del diseño de control, no fuera de él. Los corredores reducen los costos de búsqueda, pero también pueden convertirse en canales de influencia. Los grandes titulares proporcionan liquidez, pero sus archivos pueden tener historias complejas. El registro debe exigir la divulgación del corredor cuando un corredor actúa para una parte, debe registrar si el corredor es pagado por el vendedor, el comprador o ambos, y debe prohibir los conflictos del personal y la junta con los corredores. Tal divulgación no criminaliza la intermediación. Trata la intermediación como un papel económicamente material en un mercado escaso.

La credibilidad futura de transferencia de AFRINIC dependerá menos de si la institución gana un argumento narrativo y más de si las contrapartes ordinarias pueden cerrar sin temer una discreción oculta. Un comprador no debería necesitar un mapa político del registro para entender una transacción. Un vendedor no debería necesitar un informante para saber si un bloque puede moverse. Un prestamista no debería poner precio al riesgo de que una objeción no registrada aparezca en el último momento. La procedencia de la transferencia es cómo el mercado separa la verificación legítima de la búsqueda de rentas como guardián.

Las verificaciones de conflictos deben adjuntarse a las decisiones, no a los lemas

El lenguaje de la comunidad es demasiado débil para controlar el riesgo de corrupción. Una comunidad puede ser sincera, capturada, apática, fragmentada u organizada por una minoría. Una verificación de conflictos es más fría. Pregunta quién tiene un interés en la decisión y si ese interés fue revelado antes de que se ejerciera el poder. En un registro, las verificaciones de conflictos deben cubrir al personal, directores, candidatos, miembros de comités, síndicos, consultores, abogados que actúan en roles de gobernanza, funcionarios de nominación, proveedores electorales, corredores y grandes titulares de recursos cuando participan en decisiones que afectan el valor.

La gobernanza de los conflictos de intereses es un tema más amplio. El punto del control de la corrupción aquí es más estrecho: sin registros de conflictos vinculados a las decisiones, otros controles no pueden ser confiables. Una aprobación de doble control es más débil si ambos aprobadores tienen relaciones no declaradas con un corredor. Una decisión de transferencia es más débil si un revisor tiene un interés comercial en el resultado. Una decisión electoral es más débil si los funcionarios de nominación o apoderados tienen vínculos no revelados con un litigante o lista. Una decisión del síndico es más débil si los asesores son percibidos como alineados con una facción. La confianza pública requiere más que garantías de neutralidad.

La divulgación de conflictos debe ser estructurada. Una declaración vaga de que los funcionarios actuarán en interés de la comunidad no ayuda al mercado. El registro debe identificar categorías: empleo, consultoría, representación legal, servicio en la junta, apoyo a campañas, interés en la tenencia de recursos, comisión de corredor, relación familiar, interés en litigios, relación con proveedores, defensa pública previa y exposición financiera a los resultados de las transferencias. No todo conflicto revelado descalifica a la persona. Parte de la experiencia proviene de la participación. El control es revelar el interés, determinar si se requiere recusación y registrar la decisión.

Los informes electorales de 2025 de AFRINIC muestran lo que está en juego en la práctica. The Register informó que el síndico nombró a abogados británicos senior para un Comité de Nominaciones debido a preocupaciones sobre posible interferencia. Informes posteriores describieron preguntas planteadas sobre posibles conflictos en el proceso de nominación y un proceso judicial sobre los arreglos electorales. El mismo cuerpo de informes describió acusaciones en torno a poderes notariales y documentación de votantes. Estas no fueron meras controversias de campaña. El control de la junta afecta los presupuestos, los estatutos, las políticas, la gobernanza de recursos, la postura en litigios y el entorno del personal en el que se mantienen los registros. Los conflictos electorales, por lo tanto, se convierten en conflictos del libro mayor.

La distinción miembro-ley añade otra capa. Los informes públicos en 2025 describieron el debate sobre los miembros de recursos, los miembros registrados bajo la ley de sociedades de Mauricio y los derechos bajo los estatutos de AFRINIC. Si los derechos de gobernanza son legalmente ambiguos, los controles de conflictos se vuelven más importantes, no menos. Una persona puede tener un tipo de membresía, otro tipo de interés en recursos y un tercer tipo de alineación política o comercial. Un registro que no logra mapear esos intereses invita a futuras reclamaciones de que las decisiones fueron procesalmente puras solo porque la institución ignoró los intereses que importaban.

Las verificaciones de conflictos también deben aplicarse a los procesos de políticas, pero la línea debe ser modesta. Una política de transferencia, regla de contacto de abuso, regla de portabilidad o mecanismo de revocación puede cambiar un valor significativo. Los autores de políticas y los participantes activos pueden tener razones legítimas para participar mientras poseen direcciones, intermedian transacciones, representan a operadores o se oponen a ciertos modelos de negocio. La divulgación permite a los lectores evaluar el argumento. También reduce la posibilidad de que el lenguaje de la política se convierta en un instrumento oculto para la ventaja privada. El control no es cargar cada comentario de lista de correo con ceremonia legal. Es hacer visibles los intereses materiales antes de que las recomendaciones de alta consecuencia se conviertan en acción institucional.

La divulgación pública no debe convertirse en una herramienta de acoso. Las direcciones personales, los documentos de identidad privados y la información sensible a la seguridad pueden ser retenidos. Pero el interés económico no debe ser secreto. Un miembro de la junta vinculado a un corredor puede revelar la categoría sin publicar registros bancarios. Un miembro del comité que representó a un litigante puede revelar ese hecho. Un autor de políticas con una gran exposición de tenencia de recursos puede declarar la banda de exposición. El registro debe diseñar la divulgación para informar, no para castigar.

El punto económico clave es que los conflictos son inevitables en pequeñas comunidades de expertos. El problema no es que las personas tengan intereses. El problema es el interés oculto combinado con una discreción de alta consecuencia. Un registro que pretende que la virtud comunitaria elimina los conflictos es menos creíble que uno que asume que los conflictos existen y los gestiona abiertamente. En la gobernanza de direcciones escasas, el conflicto declarado es un costo. El conflicto oculto es una prima de riesgo.

La autoridad electoral es parte de la custodia del libro mayor

Es tentador tratar la mecánica electoral como un teatro constitucional separado de las operaciones del registro. AFRINIC demuestra que la separación es falsa. Una elección de la junta determina quién supervisa los presupuestos, los ejecutivos, la estrategia legal, la ratificación de políticas, el apetito de riesgo, la formación de comités y la cultura operativa alrededor del libro mayor. Si la autoridad de la junta se duda, cada acción de registro de alta consecuencia posterior lleva un descuento de gobernanza. Ese descuento es un costo de riesgo de corrupción incluso antes de que ocurra cualquier cambio indebido en el registro.

El ciclo electoral de 2025 proporcionó un problema de control concreto. The Register informó que AFRINIC no había podido elegir una junta desde 2022, que un síndico organizó las elecciones, que la votación de junio de 2025 se suspendió poco antes de su finalización debido a preocupaciones sobre poderes notariales o poderes otorgados a delegados, y que el síndico posteriormente anuló la elección tras preocupaciones sobre la documentación de los votantes. Se informó que ISPA South Africa alegó que representantes autorizados encontraron votos o poderes notariales registrados de manera que disputaban. Se informó que AFStar alegó poderes notariales fraudulentos. Estas acusaciones requieren precaución adjudicativa. No son todos hallazgos probados. Pero muestran por qué la autoridad electoral debe ser auditada como una transacción de registro.

Un poder notarial en una elección de registro no es meramente una conveniencia de votación. Puede decidir quién controla la junta que controla la institución que controla el libro mayor. Por lo tanto, debe tener una cadena de procedencia: identidad del emisor, autoridad del firmante, alcance, fecha, términos de revocación, método de verificación, canal de presentación, oficial receptor, verificación de conflictos, notificación al miembro, período de impugnación y aceptación final. Si un miembro se entera solo en la mesa de votación de que alguien más afirma votar en su nombre, el control ya ha fallado económicamente. El voto aún puede ser investigado, pero la confianza ha sido dañada.

Los registros de miembros son igualmente importantes. Un registro puede tener miembros de recursos, miembros registrados bajo la ley de sociedades, miembros votantes, contactos de cuenta y contactos técnicos. Estas categorías no deben difuminarse cuando el control está en disputa. El registro público alrededor de AFRINIC ha incluido controversia sobre el estado de Cloud Innovation en los registros corporativos de Mauricio y la posterior aclaración o disputa sobre lo que significaba ese estado. La lección no es que la teoría legal de una de las partes deba prevalecer en todas las circunstancias. Es que el estado de miembro es una superficie de control y debe conciliarse entre los registros de la empresa, los estatutos, las cuentas de recursos, las reglas de votación y las órdenes judiciales.

Los controles anticorrupción electoral deben reflejar los controles de recursos. Ningún oficial único debe aceptar poderes ilimitados sin verificación independiente. Ninguna delegación masiva de última hora debe tratarse como rutinaria. Cada poder o poder notarial debe activar una notificación directa al presunto emisor a través de un canal verificado. Los miembros deben tener una ventana de impugnación clara. Los funcionarios electorales deben publicar estadísticas agregadas sobre los poderes: cuántos presentados, cuántos rechazados, cuántos impugnados, cuántos retirados, cuántos en poder del mismo representante y qué límite se aplicó. Donde se necesita secreto para las papeletas, la verificación de la autoridad aún puede ser transparente en agregado.

La solicitación de credenciales es otro riesgo. The Register informó que la Asociación de Proveedores de Servicios de Internet de Sudáfrica advirtió a los miembros que protegieran las credenciales de AFRINIC porque las entidades que obtienen las credenciales de múltiples miembros podrían manipular los votos. AFRINIC también había advertido a los miembros sobre solicitaciones para acceder a las credenciales. El control de credenciales no es una nota al pie de soporte al usuario. Una credencial de registro puede convertirse en un instrumento de gobernanza. El acceso al portal de miembros, la identidad de votación, la autoridad de contacto y los permisos de cambio de recursos deben segmentarse para que una credencial comprometida no pueda convertirse en un poder institucional total.

La legitimidad de la junta no resuelve el riesgo de corrupción por sí misma, pero una autoridad de junta ilegítima o dudosa lo magnifica. Una junta limpia aún puede hacer mala política. Una junta en disputa puede tomar buenas decisiones operativas que el mercado descuenta. El objetivo del control no es garantizar que a todos les guste el resultado. Es hacer que la cadena de la autoridad del miembro a la autoridad de la junta sea lo suficientemente reconstruible para que los perdedores no puedan reclamar plausiblemente manipulación invisible y los ganadores no puedan usar plausiblemente la victoria como un escudo contra la auditoría.

Para AFRINIC, esta no es una lección de gobernanza abstracta. La recuperación del registro depende de convencer a los titulares de recursos de que la institución puede distinguir un voto válido de una instrucción falsificada o no autorizada, un miembro válido de uno mal clasificado, y un acto válido de la junta de un acto faccioso. La misma disciplina utilizada para proteger el libro mayor debe proteger al cuerpo que controla el libro mayor.

La sindicatura concentra la autoridad y por lo tanto necesita más controles

La sindicatura a menudo se describe como un respaldo de emergencia. En el caso de AFRINIC, la División de Quiebras del Tribunal Supremo de Mauricio nombró un síndico después de la parálisis de la gobernanza. Las declaraciones públicas de la Number Resource Organization describieron el papel del síndico como mantener el statu quo de los activos de AFRINIC, preservar el valor del negocio, supervisar el proceso electoral, facilitar una junta adecuada y apoyar la continuidad operativa. Esa imagen fáctica es importante. Sin embargo, la sindicatura no es automáticamente una cura anticorrupción. Reemplaza un problema de autoridad con una autoridad temporal más concentrada. Esa concentración debe ser controlada.

La función legítima del síndico es la preservación. El registro debe seguir sirviendo a los miembros, mantener los servicios técnicos, proteger los activos, organizar la restauración de la gobernanza y evitar la deriva institucional irreversible mientras se repara la estructura de gobernanza ordinaria. El riesgo de corrupción aparece cuando la preservación se convierte en un canal para la discreción política, la ventaja facciosa, la presión de los acreedores, la ingeniería electoral o la reasignación silenciosa del control. Un síndico puede ser honesto y aún así estar sobreempoderado. Los controles no deben depender de adivinar el carácter.

Los controles de la era del síndico deben comenzar con un mapa de mandato público. ¿Qué puede hacer el síndico solo? ¿Qué requiere aprobación judicial? ¿Qué requiere consulta con los miembros? ¿Qué debe preservarse en el último estado verificado? ¿Qué decisiones son temporales y expiran cuando se restaura la junta? ¿Qué conflictos han sido declarados por los asesores? ¿Qué cambios en los registros del registro son operaciones ordinarias y qué cambios son excepcionales? Sin tal mapa, cada acto del síndico lleva una prima de ambigüedad evitable.

Las controversias electorales muestran por qué esto importa. El síndico tuvo que mover la institución hacia la reconstitución de la junta. Esa tarea requería reglas de nominación, decisiones de elegibilidad, mecánica de votación, selección de proveedores y tratamiento de poderes notariales. Cada paso podía afectar quién controlaba posteriormente el registro. Un síndico no puede evitar tomar decisiones. La cuestión anticorrupción es si las decisiones están evidenciadas, son impugnables y están separadas de la influencia privada. Una elección fallida no es solo un retraso; le enseña al mercado que el respaldo de emergencia puede convertirse en una superficie de control en disputa.

La continuidad operativa también necesita un aislamiento. Los registros de recursos, los servicios de publicación, RPKI, DNS inverso, Whois, RDAP, IRR y el soporte ordinario a los miembros deben permanecer bajo procedimientos operativos documentados a menos que un tribunal o una emergencia verificada requiera un cambio. La estrategia legal en litigios importantes no debe influir silenciosamente en el tratamiento de los registros de miembros no relacionados. Un síndico que gestiona la supervivencia institucional no debe permitir que el registro use interfaces de servicio rutinarias como puntos de presión contra litigantes o críticos a menos que exista una base legal específica y esté registrada.

Los controles financieros también importan. El Internet Governance Project describió cómo la congelación de la cuenta bancaria de 2021 amenazó las operaciones de AFRINIC antes de que se resolvieran los méritos de las reclamaciones subyacentes. La angustia financiera puede crear riesgo de corrupción porque los proveedores, abogados, acreedores y aliados institucionales ganan influencia. La financiación de emergencia, el apoyo de otros RIR, los presupuestos legales y los contratos con proveedores deben, por lo tanto, llevar controles de divulgación y aprobación. La cuestión no es si el apoyo externo es malo. La cuestión es si el dinero crea influencia sobre la política del registro, la postura en litigios o el tratamiento de los recursos.

La sindicatura debe preservar la evidencia para la gobernanza posterior. Una junta restaurada debe heredar un registro claro de lo que el síndico cambió, por qué lo cambió, lo que sigue siendo temporal, qué disputas están pendientes, qué controles se eludieron bajo autoridad de emergencia y qué compromisos vinculan a la institución. Si la junta recibe solo resultados sin evidencia, puede ratificar una captura oculta sin saberlo. Si recibe un registro de traspaso completo, puede distinguir las decisiones de continuidad de las elecciones de política.

La era del síndico de AFRINIC, por lo tanto, enseña una lección anticorrupción específica. La gobernanza de emergencia no es un sustituto de los controles. Es una razón para intensificarlos. Un registro bajo sindicatura debe demostrar no solo que los servicios continúan, sino que la continuidad no se compró moviendo la autoridad decisiva a un lugar donde los miembros ordinarios, los tribunales, el personal y los mercados no pueden ver cómo se está protegiendo el libro mayor.

La evidencia pública reduce la prima de opacidad

La opacidad tiene un precio. En un mercado IPv4, ese precio aparece como transferencias retrasadas, garantías más amplias, mayores retenciones de depósitos en garantía, bloques con descuento, reservas para litigios, diligencia debida duplicada, reticencia a prestar contra negocios dependientes de direcciones y preocupación del cliente por la continuidad. El registro puede experimentar la opacidad como flexibilidad. El mercado la experimenta como incertidumbre. Si la incertidumbre se adjunta a un activo escaso, se convierte en una prima.

La evidencia pública reduce esa prima al hacer que las categorías de riesgo sean legibles. No requiere transparencia total. Un registro maduro puede publicar lo suficiente para apoyar la dependencia mientras protege la información sensible. Para cada acción de alta consecuencia puede registrar el estado cambiado, la categoría de autoridad, la categoría de evidencia, la ruta de control, el estado de conflicto, la disponibilidad de revisión, la preservación del estado anterior y el efecto público. Un registro de cambios redactado puede ser más valioso que una larga declaración institucional porque permite a las contrapartes verificar el proceso en lugar de absorber la narrativa.

El registro público de AFRINIC contiene varios ejemplos donde las brechas de evidencia fueron en sí mismas costosas. Los informes de manipulación de direcciones de 2019 plantearon preguntas sobre cómo habían cambiado los registros históricos. La disputa de Cloud Innovation planteó preguntas sobre la base y el alcance de la revisión de recursos. La anulación de las elecciones de 2025 planteó preguntas sobre los poderes notariales y los hallazgos de la investigación. Las cartas de la ICANN reportadas en la cobertura pública presionaron por transparencia en torno a la integridad electoral. Los informes posteriores sobre peticiones de liquidación e intervención gubernamental plantearon preguntas sobre si la gobernanza de los recursos numéricos podía tratarse como un problema de activos de la entidad corporativa. En cada caso, el mercado necesitaba más que una postura. Necesitaba límites de evidencia.

La evidencia pública debe clasificar las reclamaciones por estatus. Acusación, investigación, orden provisional, sentencia final, decisión del registro, decisión del síndico, ratificación de política, queja de miembro e informe de medios son cosas diferentes. Un registro que las difumina invita a la desconfianza. Un crítico que las difumina hace lo mismo. El control de la corrupción requiere etiquetas disciplinadas porque la consecuencia de valor de una reclamación depende de su estatus procesal. Un recurso bajo acusación no es lo mismo que un recurso adjudicado como malversado. Un poder notarial en disputa no es lo mismo que una falsificación probada. Un comunicado del síndico no es lo mismo que una orden judicial final.

El registro público de cambios también debe distinguir la corrección de registros de la aplicación. Si el registro corrige un contacto obsoleto, eso es una acción de mantenimiento del libro mayor. Si congela una transferencia porque un firmante está en disputa, eso es aislamiento de disputa. Si revoca recursos debido a un incumplimiento contractual, eso es aplicación. Si actualiza RPKI o DNS inverso porque el titular lo solicitó bajo autoridad verificada, eso es operación de servicio. Mezclar estas categorías convierte cada cambio en un posible castigo y cada castigo en un posible acto administrativo. La corrupción prospera donde las categorías se difuminan.

Los puntos de vigilancia son concretos: aprobaciones excepcionales inexplicables, concentración de poder de representación, relaciones de corredor no reveladas, acceso del personal a registros inactivos de alto valor, interpretaciones de políticas retroactivas, acciones de emergencia que nunca expiran, marcas de disputa eliminadas sin razones, cambios de RPKI o DNS inverso vinculados a conflictos no relacionados, y decisiones de la junta tomadas mientras la autoridad de los miembros está bajo desafío. Estos no son lemas. Son los lugares donde la ventaja privada puede entrar en un registro público.

La evidencia pública también disciplina a los organismos oficiales y a los críticos. Un registro que publica evidencia de control no puede esconderse fácilmente detrás de la "comunidad" o la "estabilidad". Un litigante o participante del mercado no puede reclamar persecución fácilmente donde la ruta de evidencia es estrecha, consistente y revisable de forma independiente. Los organismos de coordinación, los gobiernos y los grupos de la industria no pueden apoyar o condenar responsablemente una acción sin involucrarse con el registro. El debate se vuelve menos teatral porque la evidencia está organizada.

Para AFRINIC, un régimen de evidencia pública sería una salida del agotamiento narrativo. La institución ha sido descrita a través de demasiadas historias totalizadoras: registro corrupto, registro víctima, registro capturado, registro en recuperación, registro litigado, símbolo de soberanía africana, shell de derecho privado, tenedor de libros técnico. Ninguna de esas historias puede sostener la dependencia del mercado por sí sola. La evidencia sí puede. El registro no necesita que todos estén de acuerdo en su virtud. Necesita que suficientes personas verifiquen que el poder consecuente está restringido.

Un estándar de control práctico para registros de números escasos

El estándar que AFRINIC necesita no es una vaga promesa de transparencia. Es una arquitectura anticorrupción específica para registros vinculada a las consecuencias económicas de la escasez de IPv4. El diseño debe comenzar con una regla simple: cualquier acción que pueda cambiar la dependencia del mercado, legal u operativa adjunta a un recurso numérico requiere un rastro de evidencia, funciones separadas, doble control, revisión de conflictos, preservación del estado anterior y una ruta de revisión. Las acciones de menor riesgo pueden ser más ligeras. Las acciones de alta consecuencia deben tratarse como liquidación de infraestructura.

El primer elemento es un registro de acciones de alta consecuencia. Debe definir las acciones que activan controles mejorados: asignación del fondo escaso, aprobación o rechazo de transferencia, reclamación de recursos, publicación o eliminación del estado de disputa, cambio de nombre del titular, reconocimiento de sucesor, activación de registro inactivo, cambios materiales de RPKI, cambios materiales de DNS inverso, aceptación de documentos de autoridad amplios, aceptación de poderes electorales, anulación de emergencia y cualquier acción que involucre a un litigante o funcionario en conflicto. La definición debe ser pública para que los miembros sepan cuándo se aplican los controles mejorados.

El segundo elemento es una matriz de autoridad. Debe mapear quién puede aprobar qué: hostmasters, gerentes de registro, revisores legales, personal de seguridad, ejecutivos, síndico, junta, tribunal y revisor independiente. La matriz debe prohibir la participación de la junta o el síndico en archivos de recursos ordinarios excepto a través de canales registrados y definidos. Debe prohibir al personal ejecutar una acción que solo aprobaron. Debe requerir escalada cuando una parte es un director, candidato, corredor, litigante importante, contratista o entidad relacionada.

El tercer elemento es la clasificación de evidencia. El registro debe identificar qué evidencia apoya cada reclamación: existencia corporativa, autoridad del firmante, cadena de título o control, relación de sucesor, estado de tarifas, estado del recurso, orden judicial, reclamación de disputa, indicador de fraude, autoridad de voto del miembro, autoridad de poder, continuidad técnica y estado de seguridad. La evidencia puede ser privada, pero la categoría debe registrarse. Esto ayuda a las contrapartes a entender si una decisión se basa en hechos, derecho, política, restricción técnica o acusación no resuelta.

El cuarto elemento es el registro a prueba de manipulaciones y resúmenes públicos de cambios. Un registro debe mantener registros internos duraderos para todas las acciones de alta consecuencia y publicar resúmenes redactados para los cambios que enfrentan al mercado. El resumen no debe revelar datos personales sensibles. Debe revelar lo suficiente para mostrar que la acción fue autorizada, revisada y recuperable. Un tribunal, auditor o revisor independiente posterior debe poder reconstruir la ruta desde la solicitud hasta la ejecución.

El quinto elemento es la gestión de conflictos a nivel de asunto. El personal, los directores, candidatos, miembros de comités, funcionarios electorales, consultores y proveedores deben presentar declaraciones de conflicto periódicas, pero el control decisivo es la verificación antes de una decisión específica. Las recusaciones y no recusaciones deben registrarse. Las relaciones con corredores, la defensa pagada, los intereses en litigios y la exposición a la tenencia de recursos deben tratarse como materiales. El objetivo no es expulsar a todos los que tienen experiencia. Es asegurar que la experiencia no se convierta en influencia oculta.

El sexto elemento es la auditoría independiente. Un registro puede auditarse a sí mismo para las operaciones, pero la auditoría del riesgo de corrupción debe incluir una revisión externa de muestras y todos los casos excepcionales. La auditoría debe probar si se siguieron los controles, si las excepciones estaban justificadas, si se declararon conflictos, si los registros inactivos estaban protegidos, si los rechazos de transferencias coincidían con los criterios publicados, si los documentos de autoridad electoral fueron verificados y si los cambios de la era del síndico se mantuvieron dentro del mandato. Los hallazgos deben ser públicos en agregado con remediación específica donde sea necesario.

El séptimo elemento es el aislamiento de disputas. Cuando la evidencia entra en conflicto, el registro debe preservar el último estado operativo verificado, publicar una categoría de disputa cuando sea apropiado, prevenir cambios conflictivos y enrutar el asunto a una decisión independiente. Debe evitar convertir disputas no resueltas en revocación, redistribución o interrupción del servicio de seguridad. El aislamiento de disputas es una herramienta anticorrupción porque niega a los actores privados el premio inmediato de cambiar el estado mientras la evidencia sigue siendo controvertida.

Este estándar no haría perfecto a AFRINIC. Ningún sistema de control puede. Haría que la influencia indebida fuera más difícil de ocultar y más fácil de poner precio. También protegería la aplicación legítima del registro. Si un bloque fue realmente malversado, una pista de evidencia fuerte apoyaría la corrección. Si una transferencia era legítima, los controles objetivos detendrían a los oponentes de derrotarla a través de la insinuación. La anticorrupción funciona mejor cuando protege a la institución y al miembro uno del otro.

El estándar también debe ser proporcionado. No cada error tipográfico de contacto necesita un auditor externo. No cada pequeña solicitud de soporte necesita un registro a nivel de junta. La carga del control debe aumentar con la consecuencia: volumen de direcciones escasas, historial inactivo, autoridad en disputa, liquidación de transferencia, efecto de seguridad de enrutamiento, impacto electoral, contexto de litigio o anulación de emergencia. El control proporcionado es más rápido que el control discrecional porque el camino se conoce de antemano. También es más justo porque la misma categoría de riesgo recibe la misma disciplina independientemente de la identidad política del solicitante.

La legitimidad se encuentra en el límite entre el libro mayor y el guardián

La cuestión institucional más profunda es dónde los controles de riesgo de corrupción de AFRINIC deben trazar el límite entre el libro mayor y el guardián. Un libro mayor protege la unicidad, registra el control, publica datos de contacto y seguridad, preserva la historia, marca las disputas y ejecuta cambios objetivos cuando la evidencia es suficiente. Un guardián decide qué modelos de negocio, coaliciones políticas, regiones, facciones o estrategias de mercado merecen el privilegio del reconocimiento. El primer rol puede ser controlado. El segundo invita a la influencia porque convierte la discreción moral y política en poder económico.

La crisis de AFRINIC muestra cuán rápido puede moverse el límite. Las acusaciones históricas de manipulación de registros crearon una necesidad legítima de reparación de la procedencia. La escasez de IPv4 creó una necesidad legítima de registros cuidadosos de asignación y transferencia. El litigio creó una necesidad legítima de preservación. La sindicatura creó una necesidad legítima de continuidad. Las dificultades electorales crearon una necesidad legítima de verificación de autoridad. Cada necesidad legítima puede ser respondida por un control estrecho. Cada una también puede convertirse en un argumento para una discreción institucional más amplia. El riesgo de corrupción radica en el deslizamiento de una a la otra.

Un registro que quiere legitimidad debe elegir controles aburridos sobre la discreción heroica. Debe hacer difícil que el personal cambie registros inactivos por sí solo. Debe hacer que la aprobación de transferencias sea lo suficientemente objetiva para que los corredores no puedan vender influencia. Debe hacer que las verificaciones de conflictos sean lo suficientemente rutinarias para que el lenguaje comunitario no pueda ocultar el interés privado. Debe hacer que la autoridad electoral sea lo suficientemente verificable para que la legitimidad de la junta no dependa de los aplausos. Debe hacer que las acciones de la era del síndico sean lo suficientemente limitadas para que la continuidad de emergencia no se convierta en captura silenciosa. Debe hacer que la evidencia pública sea lo suficientemente clara para que las declaraciones oficiales y las reclamaciones adversariales puedan ser probadas contra el mismo registro.

La recompensa económica es la liquidez. Un registro de registro limpio, auditable y estrechamente gobernado permite que IPv4 se mueva hacia un uso de mayor valor con menos descuentos. Permite a los prestamistas, compradores, arrendadores y clientes distinguir los defectos reales de la niebla institucional. Permite a los titulares honestos monetizar u operar recursos sin temer que un desafío oculto aparecerá después de que se haya comprometido el valor. Permite a los tribunales preservar el statu quo porque el statu quo puede ser identificado. Permite a AFRINIC continuar como un registro útil en lugar de un guardián en disputa.

El costo de la opacidad es lo opuesto. Si un mercado cree que un archivo de registro puede ser cambiado a través del acceso privado, retrasado a través de la presión facciosa, congelado a través de una amplia discreción, certificado a través de una autoridad poco clara o gobernado por una junta cuyo mandato está en disputa, no esperará una respuesta filosófica sobre la propiedad. Agregará un descuento. Ese descuento recaerá sobre los operadores africanos, las contrapartes que utilizan espacio registrado en AFRINIC, los clientes que dependen de esas redes y la propia institución. El riesgo de corrupción se convierte en un impuesto sobre la legitimidad del registro.

El juicio final es institucional más que moral. AFRINIC no necesita controles anticorrupción porque África sea singularmente corrupta, porque un litigante sea singularmente virtuoso o porque los organismos de coordinación sean singularmente sospechosos. Los necesita porque un libro mayor de IPv4 escaso es infraestructura de mercado, y cualquier institución que controle tal libro mayor debe restringir a las personas que pueden tocarlo. Las pistas de auditoría, la separación de funciones, el doble control, la procedencia de las transferencias, los registros de cambios, los registros de conflictos, la custodia de la autoridad y la evidencia pública no son reformas opcionales alrededor del borde. Son el mecanismo por el cual un registro privado gana la confianza para seguir siendo un punto de referencia público.

En el límite libro mayor/guardián, la legitimidad no se produce diciendo que el registro sirve a la comunidad. Se produce haciendo que cada toque consecuente en el registro responda a la evidencia. La liquidez de IPv4 depende de esa disciplina. La continuidad del operador depende de ella porque las redes activas no pueden ser daños colaterales en una lucha institucional opaca. La legitimidad del registro depende de ella porque la creencia compartida se colapsa cuando el registro parece orientable de forma privada. La economía de direcciones escasas ya ha hecho visible la lección: un registro puede ser pequeño, privado y útil si su poder es estrecho y auditable. Si se convierte en un guardián opaco sobre el valor, el riesgo de corrupción ya no es un problema interno. Es el precio del mercado.