La sala de fechas límite

Imagine una sala de continuidad de servicios públicos al final de un año fiscal. La autoridad tributaria se prepara para la oleada final de declaraciones. Aduanas está poniendo en producción una nueva pasarela de declaraciones. Una red hospitalaria está probando el acceso desde clínicas regionales. Un registro civil está a punto de abrir una ventana de renovación de identidad digital. Oficiales de contratación, abogados de agencias, ingenieros de seguridad y un subsecretario permanente están revisando la lista de verificación habitual: replicación de bases de datos, conmutación por error en la nube, tiempo de actividad de la pasarela de pago, personal del servicio de asistencia, protección DDoS, simulacros de recuperación ante desastres y la exigibilidad de los acuerdos de nivel de servicio de los proveedores.

Luego, una dependencia más silenciosa entra en la sala. El portal de gobierno electrónico es accesible a través de bloques IPv4 públicos. Algunos de esos bloques están registrados a nombre de un ministerio. Otros están en manos de un proveedor de telecomunicaciones estatal. Otros se asignaron originalmente a un antiguo centro de datos público, una red educativa, un fideicomiso hospitalario o un contratista que ha cambiado de forma jurídica desde la contratación original. El DNS inverso debe apuntar a los nombres correctos. Los contactos de RDAP y Whois deben llegar a personas que aún trabajen para la agencia u operador responsable. Los objetos de ruta y las autorizaciones RPKI deben respaldar los sistemas autónomos que realmente anuncian los prefijos. Cuando bancos extranjeros, aerolíneas, agentes de aduanas, socios de financiación para el desarrollo o sistemas de salud ven tráfico desde esas direcciones, confían en la evidencia de registro y enrutamiento para decidir si el tráfico es esperado, atribuible y seguro.

El ministerio controla el presupuesto de la aplicación. Controla el anuncio público. Puede controlar el servicio de asistencia y el contrato con el proveedor. No controla directamente el registro regional de internet donde se mantiene el registro público de numeración. Ese registro reside en un sistema de coordinación técnica diseñado para la administración de números únicos, no para el ritmo de los plazos fiscales, las audiencias judiciales, las derivaciones hospitalarias, los ciclos de pago de prestaciones o las comunicaciones de emergencia. El desajuste suele ser invisible. Se hace visible cuando la capa de registro es incierta, lenta, disputada o está limitada legalmente.

AFRINIC es el caso útil para examinar ese desajuste. Sus materiales públicos lo describen como el Registro Regional de Internet para África y el Océano Índico, sin ánimo de lucro, basado en miembros, registrado en Mauricio y encargado de gestionar el espacio de direcciones IP y los Números de Sistema Autónomo. También opera o respalda los servicios complementarios que hacen legibles los recursos de numeración: Whois, RDAP, DNS inverso, el Registro de Enrutamiento de Internet y RPKI. Estos no son apéndices decorativos de internet. Son parte de la evidencia por la cual las redes, los equipos de seguridad, las contrapartes y los tribunales entienden que un bloque de direcciones público pertenece a un titular, ruta, contacto y reclamo operativo determinados.

El argumento es deliberadamente limitado. No es una teoría de que cada Estado deba controlar un registro regional. No es una afirmación de que los recursos de numeración deban convertirse en trofeos nacionales. No es una exigencia de que un registro se convierta en un ministerio. Es que los gobiernos y los servicios públicos a menudo dependen de la continuidad del registro sin controlarlo. Cuando la capa de registros de AFRINIC se vuelve incierta, el riesgo práctico no es un drama abstracto de gobernanza de internet. Es la exposición de la continuidad en la declaración de impuestos, el despacho aduanero, la conectividad hospitalaria, los pagos de prestaciones, los sistemas judiciales, la policía y las comunicaciones de emergencia, las plataformas de contratación, los servicios de identidad, las redes educativas, los servicios municipales y la infraestructura estatal.

Esa exposición es económica antes que ideológica. La accesibilidad IPv4 pública es un insumo de producción para la capacidad estatal moderna. Los registros del registro son la cadena de custodia de ese insumo. Si la cadena de custodia es débil, está desactualizada, es controvertida o administrativamente frágil, los servicios públicos heredan un riesgo que rara vez valoran, auditan o contratan. El directorio de direcciones no gestiona el sector público. Pero el sector público ha construido más de su maquinaria digital en torno al directorio de direcciones de lo que muchos funcionarios creen.

La capa de registro bajo la administración pública

La mayoría de los mapas tecnológicos del sector público se detienen demasiado arriba en la pila. Muestran el ministerio, el integrador de sistemas, el proveedor de nube, el sitio de recuperación ante desastres, el procesador de pagos, el centro de operaciones de ciberseguridad, el oficial de protección de datos y, quizás, el equipo nacional de respuesta a emergencias informáticas. Por lo general, no muestran la cuenta de registro, el repositorio de certificados de recursos, el objeto mantenedor, la delegación de DNS inverso, el contacto de abuso, el contacto administrativo o el antiguo archivo de asignación que explica por qué se asignó un bloque inicialmente. Esa omisión es comprensible. La información del registro parece técnica, y en tiempos normales es técnica. Bajo presión, se convierte en evidencia institucional.

El sector público depende de esa evidencia de manera indirecta. Un portal tributario puede utilizar direcciones anunciadas por un operador de red troncal nacional. Una plataforma aduanera puede estar alojada en un centro de datos público-privado. Una red nacional de salud puede conectar hospitales a través de un operador estatal. Un sistema de presentación judicial puede exponer API a bancos, bufetes de abogados y bases de datos policiales. Una plataforma de contratación puede necesitar accesibilidad global para licitadores, auditores y supervisores de proyectos financiados con ayuda. Cada servicio tiene un propietario de aplicación, un propietario de presupuesto y un propietario de seguridad. Menos tienen un propietario del registro.

La capa de registro importa porque la internet pública no es simplemente un conjunto de cables y enrutadores. Es un sistema de reclamaciones sobre quién tiene derecho a originar rutas, recibir informes de incidentes, publicar mapeos inversos y mantener datos de contacto autoritativos. RDAP y Whois no hacen que los paquetes se muevan, pero hacen que la rendición de cuentas sea legible. El DNS inverso no crea una cuenta tributaria, pero afecta cómo las contrapartes clasifican el tráfico y leen los registros. RPKI no garantiza el tiempo de actividad, pero proporciona a otras redes una base criptográfica para aceptar o rechazar anuncios de ruta. Los registros IRR aún pueden influir en las prácticas de filtrado, interconexión y escalado. Juntos, estos registros forman la envoltura administrativa alrededor de la accesibilidad.

Para las agencias públicas, esa envoltura a menudo se hereda en lugar de diseñarse. Un bloque de direcciones puede haber sido obtenido por un ministerio antes de que existiera la oficina central de gobierno digital. Puede haber sido asignado a través de un registro de internet local, transferido durante una reestructuración de una empresa estatal, mantenido por una red de investigación en nombre de instituciones públicas o enterrado en un largo contrato de telecomunicaciones. Las personas que negociaron el acuerdo original pueden haberse jubilado. La unidad de negocio que pagó las tarifas puede que ya no exista. El proveedor que opera el portal puede no tener poder para cambiar los registros del registro, mientras que el contacto del registro puede no tener autoridad sobre la aplicación en producción.

Se trata de un problema institucional conocido: la parte que soporta la consecuencia pública no siempre es la que tiene la palanca operativa. En las finanzas públicas, estas brechas crean pasivos contingentes. En los servicios públicos, crean fallos de resiliencia. En la numeración de internet, crean dependencia de direcciones sin control. Un sistema nacional puede diseñarse con servidores redundantes y aún así quedar expuesto si sus identificadores públicos están vinculados a una relación de registro mal documentada, disputada, inaccesible o vulnerable a retrasos institucionales.

La turbulencia de AFRINIC convierte esa capa oculta en visible. Un registro que no puede completar de manera fiable las rutinas de gobernanza, enfrenta litigios sobre su estatus legal o lucha por restaurar la confianza después de elecciones disputadas, puede seguir manteniendo los servicios técnicos en funcionamiento. La profesionalidad del personal puede preservar las operaciones diarias durante mucho tiempo. Sin embargo, la gestión de riesgos del sector público no puede detenerse en la cuestión de si los paquetes se movieron ayer. Debe preguntarse si las instituciones necesarias para probar, actualizar y defender esos registros funcionarán cuando un plazo de declaración, un incidente hospitalario, un desafío de contratación pública o una interrupción del servicio de emergencia ejerza presión temporal sobre el Estado.

Dependencia sin control

El sector público está acostumbrado a la externalización. Los gobiernos contratan centros de datos, capacidad en la nube, seguridad gestionada, fibra, pasarelas de pago, centros de llamadas y plataformas de software. La externalización en sí no es el problema. El problema es una forma de dependencia en la que el Estado puede contratar el servicio visible pero no puede controlar fácilmente la capa de reconocimiento subyacente. La accesibilidad IPv4 pública entra en esa categoría. Un ministerio puede rescindir un contrato de alojamiento, pero no puede, solo mediante contrato, obligar a un registro regional de internet a aceptar una interpretación particular del estado de los recursos, la situación de membresía, la evidencia de enrutamiento o la autoridad administrativa.

Eso no significa que AFRINIC controle los gobiernos africanos. No dirige ministerios, no enruta el tráfico nacional por sí mismo ni posee la infraestructura de las agencias públicas. El poder es más sutil. Un registro del registro es un punto de referencia común aceptado por operadores, equipos de seguridad, contrapartes, auditores y tribunales. Si ese punto de referencia se vuelve controvertido, el costo de probar la continuidad aumenta para todos los que se asientan sobre él. El registro no es el Estado, pero un servicio público puede depender de su registro.

La dependencia sin control se manifiesta de varias formas. La primera es jurídica. AFRINIC está constituida en Mauricio. Su administración judicial, litigios y estatus corporativo se rigen por los procesos legales mauricianos. Un ministerio en otro país puede tener servicios críticos que dependen de recursos administrados por AFRINIC, pero puede no ser litigante directo, miembro, acreedor o participante en la gobernanza del procedimiento que determina la continuidad institucional. Su perjuicio público existe fuera de la sala del tribunal donde se discute el futuro del registro.

La segunda forma es contractual. Un gobierno puede tener un acuerdo de nivel de servicio con un proveedor de telecomunicaciones que promete conectividad y respuesta a fallos. Ese acuerdo puede no especificar quién controla la cuenta de AFRINIC, quién debe mantener los contactos actualizados, quién tiene autoridad para aprobar cambios de DNS inverso, qué sucede si la membresía del proveedor en el registro se suspende, o cómo se preservará el material RPKI durante una disputa. El proveedor puede prometer tiempo de actividad mientras depende de una relación de registro que el cliente público nunca ha revisado.

La tercera forma es operativa. Los servicios públicos son difíciles de cambiar. Renumerar un sitio de marketing de consumo es manejable; renumerar una autoridad tributaria, una pasarela aduanera, una red nacional de hospitales, una interfaz de comunicación policial o un sistema de contratación pública es lento y arriesgado. Las direcciones IP aparecen en reglas de firewall, listas de permisos de API, integraciones de socios, sistemas antifraude, registros DNS, certificados, herramientas de monitoreo, scripts de respaldo, analizadores de registros y documentación antigua. Cada dependencia codificada convierte un problema nominalmente administrativo en un costo práctico de migración.

La cuarta forma es reputacional. Los servicios gubernamentales deben ser de confianza para ciudadanos, empresas y contrapartes extranjeras. Si los registros de direcciones de un portal público están desactualizados, son controvertidos o están asociados con datos de contacto confusos, la agencia puede enfrentar más fricciones en la respuesta a incidentes, la entrega de correo electrónico, la integración bancaria o el intercambio internacional de datos. A ningún ciudadano le importa si el problema es RDAP, DNS inverso, un objeto de ruta o un certificado de recurso. Experimentan un acceso fallido, un despacho retrasado, un pago de prestación que no se puede confirmar, o un portal de pago tratado como sospechoso por un banco.

Por eso un análisis del sector público debe ceñirse a la continuidad. El registro no es la red eléctrica, pero registra una condición de identidad de red de la que pueden depender los sistemas digitales de la red. No es un tribunal, pero sus registros pueden tratarse como evidencia. No es un ministerio, pero su disponibilidad afecta la capacidad ministerial. La cuestión práctica no es quién controla a quién. Es cómo un servicio público sigue siendo accesible, atribuible y defendible cuando la capa de registro subyacente está fuera del control administrativo directo.

Por qué AFRINIC es el ejemplo útil

AFRINIC no es simplemente una institución con problemas utilizada para decorar un argumento teórico. Es el registro para una región de servicio que contiene docenas de Estados, muchos sectores públicos digitales de rápido crecimiento y muchos operadores cuyas historias de direcciones difieren marcadamente de las de América del Norte o Europa. Sus materiales públicos identifican una misión en torno a la distribución eficiente de recursos de numeración de internet, servicios a miembros, formación, seguridad de enrutamiento, DNS inverso, Whois, RDAP, IRR y RPKI. Esa amplitud es precisamente la razón por la que la institución importa. Cuando funciona bien, reduce silenciosamente los costos de coordinación en una región enorme y diversa.

La descripción oficial también muestra por qué la dependencia del sector público es fácil de pasar por alto. AFRINIC se presenta como un organismo técnico y basado en miembros. Su proceso de políticas se describe en términos ascendentes: propuestas, debate abierto, evaluación del consenso y adopción. Este lenguaje es familiar para los operadores de red. Lo es menos para los ministerios de finanzas, administradores hospitalarios, directores de aduanas, juntas de contratación pública o gestores de servicios municipales. Las agencias públicas pueden confiar en los resultados del proceso sin comprender los canales a través de los cuales se mantienen esos resultados.

Esa dependencia se asienta frente a un difícil historial público. En 2019, KrebsOnSecurity informó sobre denuncias de un gran robo de direcciones IP africanas relacionado con manipulación de registros y empresas vinculadas a un exejecutivo de AFRINIC. En 2021, el Internet Governance Project describió la disputa de AFRINIC con Cloud Innovation como una crisis que implicaba escasez, presuntas violaciones de políticas, litigios, congelación de cuentas bancarias y argumentos sobre cuán agresivamente debería un registro hacer cumplir las interpretaciones de uso regional. En 2023, la Number Resource Organization acogió con satisfacción el nombramiento por parte de un tribunal mauriciano de un interventor oficial y describió la tarea del interventor como preservar los activos de AFRINIC, mantener el statu quo y supervisar las elecciones para restaurar la gobernanza.

El historial posterior no eliminó la incertidumbre de inmediato. The Register informó que AFRINIC no había podido nombrar un director ejecutivo ni elegir miembros de la junta durante años; que una elección de 2025 se suspendió y luego se anuló tras preocupaciones sobre poderes notariales y documentación de votantes; y que una elección posterior produjo una junta directiva, aunque la institución seguía enfrentando críticos activos, preguntas judiciales y el trabajo de ICANN sobre políticas para registros disfuncionales. En 2026, The Register también informó sobre declaraciones de AFRINIC de que estaba reconstruyendo presupuestos y estrategia, seguidas de nuevos informes sobre litigios y la intervención de ICANN en una solicitud de liquidación.

Estos eventos deben tratarse con cuidado. Algunas afirmaciones son denuncias. Otras son controvertidas por las partes. Algunos informes reflejan la opinión de AFRINIC, Cloud Innovation, ICANN, la NRO, periodistas o comentaristas externos. Una agencia pública no necesita decidir cada cuestión de fondo jurídica para aprender del historial. El hecho importante es que la capa de registro ha estado sometida a un largo período de incertidumbre institucional lo suficientemente visible como para que los tribunales, los organismos de coordinación global, los miembros y la prensa técnica comentaran repetidamente.

Eso es suficiente para cambiar el modelo de riesgo. Una agencia pública no necesita tomar partido en la disputa de Cloud Innovation para aprender de ella. No necesita respaldar ni rechazar a ninguna junta directiva para comprender el efecto de la falta de junta en la contratación. No necesita aceptar las narrativas oficiales del registro como autoridad de encuadre para ver que la continuidad de la capa de registro es ahora parte del problema de resiliencia de los servicios públicos. AFRINIC es el ejemplo porque su tensión está documentada, es plurianual y está directamente ligada a los servicios de los que depende la accesibilidad del sector público.

La escasez convirtió los registros de numeración en infraestructura económica

La escasez de IPv4 cambió la naturaleza institucional de los registros del registro. Cuando las direcciones eran abundantes, la relación con el registro podía tratarse como un asunto administrativo técnico. Las solicitudes se justificaban, los bloques se asignaban, los contactos se registraban y las redes crecían. La escasez hizo que cada registro fuera más valioso, no porque el registro en sí sea mágico, sino porque es la reclamación reconocida sobre un insumo de producción útil y limitado. Una dirección IPv4 enrutable aún admite alojamiento, acceso, compatibilidad con la nube, control de fraude, equipos heredados y accesibilidad pública en sistemas que aún no pueden funcionar solo con IPv6.

El material sobre el agotamiento de AFRINIC registra el arco general. El conjunto global de direcciones libres se agotó después de que IANA distribuyera los últimos grandes bloques a los registros regionales. Otras regiones agotaron sus conjuntos libres antes. AFRINIC entró en la Fase 1 de su proceso de aterrizaje suave en 2017 y más tarde identificó la Fase 2 como la fase de agotamiento actual. Los detalles del tamaño de asignación, la reserva y los criterios de evaluación son importantes para los solicitantes. Para la economía del sector público, el punto clave es que la escasez convirtió los plazos administrativos y la interpretación de políticas en eventos económicos materiales.

El cambio afecta al gobierno de dos maneras. En primer lugar, las agencias públicas necesitan direcciones como insumo práctico, incluso cuando planean trasladar más servicios a IPv6 o a direccionamiento privado detrás de NAT. Los portales orientados al ciudadano, las API interinstitucionales, las pasarelas de correo electrónico público, los resolutores DNS, los sistemas de acceso remoto hospitalario, los puntos de acceso de control de servicios públicos y los paneles orientados a socios a menudo dependen de IPv4 enrutable. La migración a IPv6 ayuda, pero no elimina instantáneamente todas las dependencias de IPv4 en dispositivos ciudadanos, redes de socios, productos antiguos de proveedores, sistemas bancarios extranjeros o integraciones de transporte internacional.

En segundo lugar, los gobiernos son compradores en mercados moldeados por la escasez. Si una empresa de servicios públicos estatal necesita direcciones, sus opciones pueden incluir nueva asignación si está disponible, espacio asignado por el proveedor, espacio arrendado, puntos finales alojados en la nube o renumeración en torno a una arquitectura diferente. Cada opción tiene un costo y un riesgo. Las políticas que hacen que las actualizaciones de registros sean lentas, inciertas o discrecionales no afectan solo a los intermediarios privados de direcciones. Afectan el precio y la disponibilidad de insumos que los servicios públicos deben adquirir.

Aquí es donde la dependencia de direcciones se convierte en un problema de economía institucional. Un insumo escaso tiene un precio sombra incluso si el gobierno lo obtuvo hace mucho tiempo por una tarifa administrativa. Un bloque IPv4 público integrado en un servicio nacional conlleva valor de opción, costo de reemplazo y riesgo operativo. Si la incertidumbre del registro reduce la confianza en el estado de ese bloque, el Estado ha sufrido un daño económico real antes de que ocurra cualquier interrupción visible. El daño puede manifestarse en ofertas más altas de proveedores, revisión legal, renumeración de emergencia, exclusiones de seguros, soluciones alternativas costosas, retrasos en la contratación o una forma más estricta de dependencia del proveedor.

El sector público está particularmente expuesto porque no siempre puede optimizar rápidamente. Una empresa privada puede rediseñar un producto, cambiar de proveedor de alojamiento o aceptar una interrupción temporal para un subconjunto de clientes. Una autoridad tributaria no puede permitirse incumplir un plazo de declaración. Un hospital no puede pedir a los pacientes que esperen mientras se resuelve una disputa sobre políticas de enrutamiento. Un sistema aduanero no puede pedir a los puertos que despachen contenedores manualmente durante semanas porque un registro de recursos de numeración aguas arriba esté en tela de juicio. Por lo tanto, la escasez ha hecho que los registros de registro precisos y estables formen parte de la infraestructura económica del Estado.

Esto no hace que las direcciones sean equivalentes a la tierra, el espectro o la moneda. Significa que se comportan como un insumo de producción obstinado en la administración digital. Su valor público reside menos en su precio de reventa que en la disrupción evitada. Un bloque de direcciones adquirido hace años puede parecer un artefacto heredado en un registro de activos. Si ancla una interfaz nacional de pagos, un intercambio de pruebas policiales o una red de derivación hospitalaria, es un activo de continuidad.

Lo que enseña el reportaje sobre el robo de direcciones de 2019

El reportaje de 2019 sobre el robo de direcciones en torno a AFRINIC es una advertencia útil para las agencias públicas porque desvía la atención del teatro de la gobernanza a la integridad de los registros. KrebsOnSecurity describió una investigación de varios años realizada por Ron Guilmette y periodistas sobre bloques de direcciones supuestamente sustraídos de entidades africanas, incluidas empresas desaparecidas o adquiridas, y enrutados para uso comercial a través de empresas vinculadas a un exejecutivo de AFRINIC. El artículo informó de un valor de mercado estimado en más de 50 millones de dólares para las direcciones documentadas y señaló que AFRINIC dijo que estaba investigando.

Los detalles fácticos importan, pero la lección institucional es más amplia. Los registros del registro no son inertes. Si los registros en torno a una agencia pública inactiva, un contratista estatal disuelto, una antigua red educativa o una empresa estatal fusionada son débiles, alguien puede explotarlos. La explotación no tiene por qué parecerse a un secuestro de ruta dramático. Puede parecerse a papeleo, contactos obsoletos, credenciales olvidadas, una discrepancia en el registro mercantil o un cambio que ningún funcionario actual advierte hasta que el bloque ya se está utilizando en otro lugar.

Los sectores públicos están llenos de estos activos heredados. Un ministerio puede haber recibido espacio de direcciones durante un proyecto temprano de internet. Un hospital universitario puede haber sido conectado a través de una red de investigación financiada por donantes. Una red nacional de educación puede haber mantenido recursos en nombre de instituciones públicas. Una agencia estatal de TI puede haber absorbido entidades predecesoras sin consolidar sus registros del registro. Un operador de telecomunicaciones privatizado o corporatizado puede conservar infraestructura que todavía sirve a funciones gubernamentales. Cada transición crea la posibilidad de una cadena de custodia rota.

El robo o la transferencia no autorizada no es el único peligro. Los registros obsoletos también pueden ralentizar la respuesta de emergencia. Si un bloque de un hospital público es utilizado indebidamente por un equipo comprometido, los servicios de respuesta a incidentes necesitan contactos válidos. Si una pasarela gubernamental es bloqueada por una red asociada, la evidencia de enrutamiento y registro debe ser lo suficientemente clara para el escalado. Si una zona de DNS inverso antigua apunta al servidor de nombres equivocado, los sistemas de correo electrónico y registro pueden comportarse de manera impredecible. La integridad no consiste simplemente en impedir que los delincuentes vendan direcciones. Consiste en preservar la confianza en la administración rutinaria.

El episodio del robo de direcciones también muestra las consecuencias políticas de los registros débiles. Después de que se acusa a un registro de no proteger el espacio de direcciones, aumenta la presión para realizar auditorías, revisiones de recursos y una aplicación más estricta. Esa presión puede ser legítima. Pero puede ampliar el papel discrecional del registro si no se delimita cuidadosamente. La misma institución a la que se pide que repare la integridad de los registros puede entonces reclamar una autoridad más amplia sobre los modelos de negocio, la geografía de uso o los acuerdos comerciales. La cura se vuelve arriesgada si se desvía de la corrección basada en evidencia hacia un control general sobre el uso lícito de la red.

Para los gobiernos, la lección es auditar antes del escándalo. Las agencias públicas no deben esperar a una crisis del registro para descubrir quién posee su espacio de direcciones público. Deben conocer el titular registrado, los contactos actuales, la estructura del mantenedor, la delegación de DNS inverso, el estado de RPKI, los ASN de origen, la parte contractual, las obligaciones de renovación y la autoridad legal para las actualizaciones. En un mundo de IPv4 escaso, el antiguo directorio de direcciones no es un archivo. Es un registro de activos para la continuidad.

Hay una segunda lección: los registros necesitan propietarios que sobrevivan a los proyectos. Un programa de modernización tributaria puede cerrar tras su implementación. Una subvención para conectividad sanitaria puede terminar cuando las clínicas estén conectadas. Un proyecto piloto de banda ancha municipal puede integrarse en un operador nacional. Si los registros del registro permanecen vinculados a la oficina del proyecto, el riesgo de continuidad sobrevive al proyecto. La administración pública es buena creando comités para nuevos servicios; es menos buena manteniendo los registros de bajo estatus que los sustentan. El reportaje sobre el robo de direcciones de AFRINIC es un recordatorio de que los adversarios y los oportunistas notan los registros descuidados antes que los ministros.

Cloud Innovation como prueba de resistencia de la continuidad

La disputa de Cloud Innovation se narra a menudo como una confrontación entre AFRINIC y un gran titular de direcciones. Para los propósitos del sector público, esa narración es demasiado limitada. La disputa es una prueba de resistencia de la continuidad: ¿qué sucede cuando un registro cree que un miembro ha incumplido la política o el contrato, el miembro cree que el registro se está excediendo en su autoridad, y ambas partes recurren a los tribunales y a la discusión pública mientras los recursos de direcciones activos permanecen integrados en las redes de los clientes?

El relato de 2021 del Internet Governance Project describió las alegaciones de AFRINIC de que el uso real de Cloud Innovation difería del uso registrado y que AFRINIC afirmaba una teoría de uso regional vinculada a la membresía y la necesidad. También describió las objeciones de Cloud Innovation, incluidos argumentos contra una revisión intrusiva y contra una interpretación que requeriría permiso del registro para cambios ordinarios en el servicio. AFRINIC amenazó con la rescisión y la recuperación; Cloud Innovation acudió a los tribunales; se produjeron congelaciones de cuentas bancarias y múltiples casos. Los méritos legales estaban y siguen estando controvertidos. La lección de continuidad es clara.

La revocación no es como cancelar una suscripción a un boletín. Los recursos de direcciones pueden estar por debajo de clientes reales, contratos a largo plazo, servicios orientados al público y prácticas de seguridad de enrutamiento. Si un registro actúa de forma destructiva antes de que un foro independiente haya resuelto una disputa, los usuarios finales inocentes pueden convertirse en daños colaterales. Si un titular puede paralizar el registro mediante litigios, toda la región puede heredar un riesgo institucional. El sector público debería sentirse incómodo con ambos modos de fallo.

Por eso importa la proporcionalidad. Un registro debe poder investigar el fraude, la tergiversación, el impago y el abuso. También debe distinguir entre preservar un registro en disputa y destruir la confianza operativa. Una arquitectura de continuidad de los servicios públicos debería preferir el aislamiento de la disputa: registrar el conflicto, bloquear las transferencias conflictivas si es necesario, exigir pruebas, preservar el último estado operativo verificado cuando sea posible y dejar que un proceso independiente decida las soluciones severas. El registro no debería ser demandante, investigador, juez y verdugo cuando el efecto práctico pueda incluir la interrupción de la red para personas que no son parte en la disputa.

Cloud Innovation también muestra cómo el riesgo del sector público puede surgir sin que el sector público aparezca en los escritos judiciales. Supongamos que un servicio gubernamental está alojado por un proveedor cuyo espacio de direcciones está sujeto a una disputa con AFRINIC. El contrato del ministerio puede no decir nada sobre esa disputa. El servicio puede seguir funcionando hasta que una acción del registro, una decisión de filtrado de rutas, una evaluación de riesgos de los socios o una orden judicial cambie el entorno. Para entonces, la agencia puede no tener una vía rápida para sustituir las direcciones sin romper las integraciones.

Por lo tanto, la disputa debe leerse menos como una controversia singular que como una advertencia sobre el apalancamiento institucional. Cuando la capa de registro se utiliza para hacer cumplir juicios políticos amplios, el efecto puede extenderse más allá del titular inmediato. Cuando los miembros litigan agresivamente contra el registro, el efecto puede extenderse más allá del miembro. En ambos sentidos, la continuidad de los servicios públicos depende de normas que protejan los registros precisos y las redes en funcionamiento mientras los méritos se deciden en otro lugar.

Este punto no es una defensa especial para ninguna empresa en particular. Es un principio de diseño para los sistemas públicos. Los tribunales, los reguladores y los gobiernos pueden imponer soluciones severas porque cuentan con procedimientos de derecho público, vías de apelación y disciplina de ejecución. Un registro tiene autoridad administrativa porque las redes aceptan su función de coordinación. Cuando esa autoridad administrativa se utiliza de maneras que podrían afectar a hospitales, tribunales, plataformas aduaneras o integraciones de servicios de emergencia, las agencias públicas necesitan garantías de que la continuidad se ha diseñado en el proceso, no se ha asumido a posteriori.

La administración judicial y las lagunas electorales como señales para la contratación

La administración judicial es un recurso legal, pero para la contratación pública también es una señal. La declaración de 2023 de la Number Resource Organization decía que el Tribunal Supremo de Mauricio había nombrado un interventor oficial cuyo papel incluía mantener el statu quo de los activos de AFRINIC, preservar el valor empresarial, supervisar las elecciones, facilitar una junta directiva adecuada y permitir el nombramiento de un director ejecutivo. La NRO acogió con satisfacción el desarrollo como una forma de restaurar la gobernanza funcional y mantener disponibles los servicios de registro. Esa es una prueba fáctica importante: incluso dentro del sistema de registro, la intervención legal formal se trató como un mecanismo para preservar la continuidad.

Un interventor no significa automáticamente un colapso técnico. De hecho, el objetivo de la administración judicial es evitar el colapso. El personal puede seguir atendiendo solicitudes, manteniendo bases de datos y publicando servicios. Sin embargo, los responsables de contratación y los gestores de riesgos del sector público no se fijan solo en el servicio de asistencia actual. Preguntan si el proveedor, regulador u organismo de coordinación crítico está gobernado, es solvente, está autorizado y es capaz de tomar decisiones. La dificultad de AFRINIC para mantener rutinas de gobernanza ordinarias importa, por tanto, incluso si su personal técnico seguía trabajando.

La secuencia electoral de 2025 profundizó la preocupación. The Register informó que AFRINIC no había podido elegir una junta directiva durante años; que un interventor organizó elecciones; que ICANN expresó su preocupación; y que el proceso de junio de 2025 se retrasó, luego se suspendió y se anuló tras las preocupaciones sobre la documentación de los votantes y los poderes notariales. Informes posteriores dijeron que una nueva elección produjo ocho directores en septiembre de 2025, dando a AFRINIC de nuevo una junta, pero sin liberarla de litigios, críticas o posibles impugnaciones judiciales. En febrero de 2026, los representantes de AFRINIC describían una mejora de la moral, el trabajo presupuestario y un proceso estratégico. En marzo y mayo de 2026, los informes públicos mostraban de nuevo disputas renovadas y la intervención de ICANN en litigios.

Para una agencia pública, este cronograma no exige una predicción de que AFRINIC vaya a fracasar. Exige reconocer que la capa de registro ha sido institucionalmente volátil. Un ministerio que planifica un sistema nacional de identidad digital, una plataforma de ventanilla única aduanera, una actualización de la red educativa o una renovación de la conectividad hospitalaria no debería asumir que la continuidad del registro es una constante de fondo simplemente porque los servicios han funcionado históricamente. Debería preguntarse cómo se mantendrán los registros de direcciones si el registro está en administración judicial, si las elecciones son impugnadas, si las cuentas bancarias están restringidas, si ICANN contempla mecanismos de emergencia o si un procedimiento judicial afecta a la autoridad institucional.

La confianza en la contratación se basa en respuestas aburridas a estas preguntas. ¿Quién puede firmar? ¿Quién puede aprobar cambios? ¿Quién puede dar garantías? ¿Quién es responsable? ¿Cuál es la vía de escalado? ¿Qué tribunal es competente? ¿Qué sucede si la gobernanza del registro se impugna durante una migración de servicio? Si la agencia pública no puede responder, los licitadores pondrán precio a la incertidumbre o la ignorarán hasta que surja una crisis. Ninguno de los dos resultados es una buena gestión de las finanzas públicas.

El mismo problema aparece en los proyectos financiados por donantes y regionales. Una modernización aduanera financiada por bancos de desarrollo, un programa de conectividad de salud pública, una red nacional de investigación y educación o una actualización de las comunicaciones de los servicios de emergencia pueden implicar a proveedores y auditores transfronterizos. Estos actores no necesariamente entenderán la historia de AFRINIC. Simplemente verán un registro regional con una agitación de gobernanza visible. El sector público debería estar preparado para demostrar que su propio plan de continuidad no depende de fingir que esa agitación es irrelevante.

Esto también es una cuestión de reputación. Las agencias públicas piden a los ciudadanos y a las empresas que confíen en los servicios en línea con sus registros fiscales, datos biométricos de identidad, presentaciones mercantiles, documentos judiciales, declaraciones de aduanas e información sanitaria. Si la identidad de red subyacente depende de una institución cuya gobernanza es públicamente controvertida, la respuesta no puede ser encogerse de hombros diciendo que la capa de aplicación está separada. La capa de aplicación es lo que ve el público. La capa de registro es lo que muchos sistemas externos utilizan para decidir si la aplicación merece confianza.

IPv4 público en la maquinaria de la capacidad estatal

La capacidad estatal se suele debatir en términos de recaudación de ingresos, aplicación de la ley, prestación de servicios sanitarios e infraestructura. El gobierno digital añade una capa menos visible: la capacidad de mantener una identidad de red fiable. Una autoridad tributaria que no puede mantener su portal accesible pierde ingresos y legitimidad. Un sistema aduanero que no puede despachar declaraciones retrasa el comercio. Una red hospitalaria que no puede mantener una conectividad segura debilita las operaciones clínicas. Una plataforma judicial que no puede intercambiar documentos de forma fiable ralentiza la justicia. Un sistema de prestaciones que no puede procesar solicitudes en línea convierte el riesgo administrativo en riesgo para los hogares.

Las direcciones IPv4 públicas no son la única forma en que estos servicios funcionan, pero siguen estando profundamente integradas. Incluso cuando una agencia utiliza servicios en la nube, los puntos finales públicos siguen vinculados a direcciones, DNS, certificados, enrutamiento y controles de seguridad. Incluso cuando una red privada transporta tráfico sensible, las pasarelas públicas, los concentradores VPN, los sistemas de monitoreo y las API de socios pueden depender de IPv4 enrutable. Incluso cuando se implementa IPv6, la realidad de doble pila significa que IPv4 sigue formando parte de la línea base operativa para muchos ciudadanos, dispositivos y contrapartes.

La economía de la dependencia de direcciones se asemeja a la economía de una infraestructura antigua pero esencial. Un puente construido hace décadas puede no ser glamuroso, pero si transporta ambulancias y mercancías, su mantenimiento forma parte de la capacidad pública. Un bloque IPv4 adquirido hace mucho tiempo puede parecer un artefacto heredado, pero si ancla una red hospitalaria, un intercambio de registros policiales o un portal de contratación, es un activo de continuidad. Su valor no reside solo en el precio de mercado, sino en la disrupción evitada. El costo de perder la confianza en él incluye retrasos en la contratación, confusión de los usuarios, reconfiguración de socios, revisión de ciberseguridad, fallos en las comunicaciones de emergencia y responsabilidad política.

La renumeración ilustra el punto. Los ingenieros pueden describir la renumeración como un proceso técnico; los administradores públicos la experimentan como un proyecto de coordinación. Cada firewall, entrada DNS, integración de proveedores, panel de monitoreo, lista de permisos de socios, proceso de certificados, regla de retención de registros y mensaje orientado al ciudadano debe ser revisado. Algunas dependencias no están documentadas. Algunas contrapartes responden lentamente. Algunos sistemas son operados por contratistas cuyos contratos no incluyen la renumeración de emergencia. Algunos servicios públicos tienen plazos legales que no pueden moverse. Una interrupción en la capa de registro puede, por lo tanto, traducirse en semanas o meses de trabajo administrativo.

El sector público también tiene menos tolerancia a la interrupción selectiva. Una plataforma privada puede decidir degradar el servicio para un subconjunto de clientes durante una migración. Un gobierno no puede decir fácilmente a los contribuyentes de una región, a los pacientes de un hospital o a los importadores de un puerto que su servicio es temporalmente de menor prioridad porque se está resolviendo una disputa sobre recursos de numeración. Las políticas distributivas del servicio público hacen que la continuidad sea más que una preferencia de ingeniería. Es parte de la obligación del Estado de tratar a los ciudadanos y a las empresas de manera predecible.

Esa obligación se extiende a la infraestructura estatal. Las empresas eléctricas, los puertos, los operadores ferroviarios, las empresas de agua y los operadores públicos de telecomunicaciones utilizan cada vez más interfaces digitales para la facturación, el control, la restauración del servicio, los avisos a los clientes y la coordinación de emergencias. Algunas son jurídicamente independientes del gobierno. Otras operan como empresas comerciales. Pero su fallo es políticamente público cuando los ciudadanos pierden el acceso al servicio, cuando los puertos no pueden despachar la carga o cuando las comunicaciones de emergencia se degradan. La dependencia de direcciones a menudo atraviesa estas formas corporativas antes de aparecer como un problema público.

Por eso la capa de registro debería incluirse en los inventarios nacionales de infraestructura digital. No como un trofeo, ni como una invitación a politizar los recursos de numeración. Debería incluirse porque la accesibilidad IPv4 pública es un insumo para la prestación de servicios. Los insumos necesitan propietarios, registros de riesgos, contratos, planes de respaldo y auditorías periódicas. Si el Estado depende del registro del registro, al menos debería saber cómo está estructurada esa dependencia.

RDAP, DNS inverso, IRR y RPKI como evidencia para los servicios públicos

El debate público en torno a los registros regionales de internet suele centrarse en la asignación y la propiedad. Las operaciones del sector público también dependen de los servicios menos espectaculares que rodean una asignación. RDAP y Whois proporcionan datos de registro y contacto. El DNS inverso vincula las direcciones con los nombres. RPKI permite a los titulares publicar Autorizaciones de Origen de Ruta que ayudan a las redes a validar si un ASN está autorizado a originar un prefijo. Las bases de datos IRR pueden contener objetos de política de enrutamiento utilizados por los operadores. Estos servicios no son todos iguales en fuerza técnica, pero cada uno puede convertirse en una evidencia importante durante un fallo, una auditoría o un evento de seguridad.

Consideremos primero RDAP y Whois. Cuando una dirección del sector público se ve involucrada en un incidente, los equipos de respuesta externos buscan una parte responsable. Si los puntos de contacto están obsoletos, el problema puede escalar lentamente o a la institución equivocada. Si la dirección parece registrada a nombre de un contratista en lugar de a la agencia pública, la rendición de cuentas puede ser confusa. Si el registro está en disputa, los bancos extranjeros, los proveedores de ciberseguridad, las aerolíneas, los socios de financiación para el desarrollo o los gobiernos homólogos pueden dudar antes de tratar el tráfico como legítimo. La contactabilidad es parte de la confianza.

El DNS inverso es igualmente mundano hasta que falla. Muchos sistemas de seguridad, sistemas de correo y registros operativos utilizan los mapeos inversos como señales. Una pasarela aduanera con un DNS inverso roto o engañoso puede no desconectarse, pero puede acumular fricciones. El correo electrónico de las agencias públicas puede tener problemas de entrega. Los registros pueden volverse más difíciles de interpretar. Los equipos de respuesta a incidentes pueden perder una vía fácil desde la dirección al propietario del servicio. Las agencias públicas suelen tratar el DNS inverso como un ajuste técnico menor; en la práctica, es parte de la nomenclatura institucional.

RPKI tiene más consecuencias para la accesibilidad. Un ROA válido puede ayudar a proteger contra los secuestros de ruta y las malas originaciones, mientras que la falta de un ROA o un ROA incorrecto puede provocar que las rutas sean rechazadas por las redes que realizan la validación de origen de ruta. Para una agencia pública, la gestión de RPKI debe estar vinculada al control de cambios. Si una empresa de telecomunicaciones estatal anuncia el prefijo de un ministerio, la autorización debe coincidir. Si la agencia cambia de proveedor, la autorización de origen de ruta debe cambiarse de forma segura. Si el acceso al registro se retrasa o se disputa, una medida de seguridad de enrutamiento puede convertirse en un peligro para la continuidad.

Los registros IRR ocupan una posición más desigual pero aún relevante. Algunas redes dependen en gran medida de los datos de calidad del registro, otras utilizan los objetos de ruta como un insumo entre muchos, y otras se basan en acuerdos locales. Las agencias públicas no deben asumir que un objeto IRR por sí solo demuestra la accesibilidad. Deben asumir que las contrapartes pueden utilizarlo como evidencia al construir filtros, resolver incidentes o comprobar si una ruta parece esperada. En una crisis, cada pieza de evidencia coherente reduce la fricción; cada pieza obsoleta la aumenta.

Estas funciones son la razón por la que la capa de registro debe protegerse tanto de la corrupción como del exceso de celo. Un registro descuidado o comprometido puede publicar evidencias erróneas. Una institución que se extralimita puede amenazar con eliminar o contaminar la evidencia como palanca en una disputa. Un diseño de sector público resiliente preservaría el estado verificado de RDAP, Whois, DNS inverso, IRR y RPKI durante litigios, insolvencia o conflictos de gobernanza, a menos que una decisión independiente requiera específicamente una alteración. El valor predeterminado debería ser la continuidad de los servicios públicos en funcionamiento, no la autoayuda administrativa.

El propio catálogo de servicios de AFRINIC reconoce la relevancia de estas funciones. Enumera Whois, RDAP, DNS inverso, DNSSEC, IRR y RPKI entre sus trabajos. El material oficial del registro puede no zanjar el debate político, pero sí identifica la superficie operativa. El sector público debería tratar esa superficie como parte de su patrimonio digital. Si un ministerio no desplegaría un sistema hospitalario sin energía de respaldo, no debería desplegarlo sin saber quién puede mantener la evidencia de ruta y registro que lo mantiene accesible y atribuible.

El costo fiscal del control impreciso de las direcciones

La incertidumbre del registro tiene un costo fiscal incluso cuando ningún servicio público se cae. Los mercados de contratación valoran el riesgo. Un proveedor que puja por operar un portal nacional preguntará quién controla las direcciones públicas, si el espacio de direcciones es portable, si los cambios de DNS inverso y RPKI pueden realizarse según lo previsto y si la relación con el registro está limpia. Si las respuestas son imprecisas, el proveedor puede añadir contingencias, limitar la responsabilidad, exigir derechos de modificación de pedidos o empujar a la agencia hacia el propio espacio de direcciones del proveedor, profundizando la dependencia.

La contratación en la nube no elimina el problema. Un gobierno puede utilizar plataformas a hiperescala y aun así necesitar puntos finales públicos estables, listas de permisos, infraestructura de correo, pasarelas VPN, DNS público, integraciones de pago y API de socios. Migrar al espacio de direcciones de un proveedor de nube puede reducir la exposición directa al registro, pero también hace que el servicio público dependa de la identidad de red del proveedor y de sus decisiones de uso aceptable. Mantener direcciones controladas por el gobierno puede preservar la portabilidad, pero solo si la evidencia de registro y enrutamiento se mantiene adecuadamente. En cualquier caso, la capa de direcciones sigue siendo parte de la economía contractual.

Los servicios públicos estatales se enfrentan a un problema similar. Los operadores de electricidad, agua, ferrocarril, puertos y telecomunicaciones suelen gestionar tanto redes públicas como operativas. Algunos heredaron grandes o fragmentadas tenencias de direcciones. Algunos prestan servicio a ministerios y servicios de emergencia. Si su estatus de registro es incierto, el riesgo público se desplaza a través de la forma corporativa. Una empresa de servicios públicos puede ser jurídicamente independiente del Estado, pero su fallo en el servicio es políticamente público. Lo mismo se aplica a las redes educativas, los proyectos municipales de banda ancha, los hospitales públicos y la infraestructura nacional de investigación.

El costo fiscal oculto también aparece en los seguros y las auditorías. Las aseguradoras cibernéticas, los bancos de desarrollo y los auditores públicos piden cada vez más pruebas de control de activos, respuesta a incidentes, dependencia de terceros y planificación de la continuidad. Los registros de direcciones aún no siempre figuran en sus listas de verificación. Deberían. Una agencia pública que no puede demostrar quién controla su espacio de direcciones, cómo se gestiona la autorización de rutas, cómo se protege el acceso a la cuenta del registro y cómo se manejarían las disputas, está asumiendo un riesgo no valorado. El costo puede aparecer más tarde como una prima, un hallazgo de auditoría o una apropiación de emergencia.

El costo se ve agravado por el lento calendario de la contratación pública. Los grandes sistemas se licitan años antes de que alcancen un funcionamiento estable. Los planes de direcciones quedan congelados en los documentos de diseño, los diagramas de red y las acreditaciones de seguridad. Un contratista que descubre la incertidumbre del registro después de la adjudicación puede tener pocos incentivos para resolverla de forma barata; un ministerio que la descubre durante las pruebas de aceptación puede tener poca capacidad para volver a licitar. El poder de negociación del sector público es más fuerte antes de la firma y más débil cuando se acerca una fecha de lanzamiento legal. Por eso la dependencia de direcciones debe figurar en los pliegos de licitación, no en el archivo de lecciones aprendidas posterior al incidente.

También existe una asimetría de economía política. Los beneficios de ignorar el riesgo del registro son inmediatos y privados para el equipo del proyecto: menos preguntas, una licitación más rápida y una narrativa de lanzamiento más limpia. Los costos del fallo del registro son tardíos y públicos: gastos de emergencia, molestias a los ciudadanos, preguntas parlamentarias, pérdida de ingresos fiscales, retraso en los servicios sanitarios o atrasos en las aduanas. Cuando los beneficios y los costos están separados en el tiempo y en la titularidad, la inversión insuficiente en resiliencia es predecible. La administración pública debería describirlo como un defecto de diseño subsanable.

La auditoría práctica debería ser mundana. Un gobierno debería saber qué servicios públicos dependen de qué prefijos, quién está registrado como titular, si los contactos están actualizados, qué servidores de nombres sirven las zonas inversas, qué ASN originan las rutas, qué ROA existen, qué registros IRR utilizan las contrapartes, qué tarifas o acuerdos deben mantenerse, qué contratos de proveedores afectan a los recursos y quién puede actuar en una emergencia. Esto no es una llamada al pánico. Es una llamada a trasladar la capa de registro de las notas a pie de página de los diagramas de red al registro principal de riesgos.

Una arquitectura de continuidad para ministerios y empresas de servicios públicos

Una arquitectura de continuidad del sector público para la dependencia de direcciones comienza por separar el registro de la institución que lo opera. El registro debe ser preciso, versionado, auditable y recuperable. La institución que opera el registro debe ser responsable, pero no debe ser el único lugar donde se pueda entender la continuidad de los servicios públicos. Los gobiernos hacen esto en otros ámbitos. Guardan copias de los registros de la propiedad, los registros vitales, los contratos de contratación y los planes de emergencia. Deberían aplicar la misma disciplina a las dependencias de numeración pública.

El primer elemento es el inventario. Cada ministerio, agencia, empresa de servicios públicos estatal, red hospitalaria, sistema judicial, red educativa y plataforma digital pública debería mapear los prefijos que utiliza. El mapa debería identificar si el espacio es asignado por el proveedor, independiente del proveedor, arrendado, transferido, heredado, mantenido a través de un registro de internet local o integrado en un servicio en la nube. Debería conectar cada prefijo con los servicios públicos, los proveedores, los ASN, las zonas DNS, las zonas inversas, las autorizaciones RPKI y los contactos de incidentes. Sin inventario, la planificación de la continuidad se convierte en una adivinanza.

El segundo elemento es la autoridad. El Estado debería saber quién puede actualizar los registros del registro, aprobar cambios de DNS inverso, emitir o revocar ROA, modificar objetos de ruta y responder a las consultas de RDAP o Whois. Debería exigir un control dual y una sucesión para esas funciones. Si un solo empleado de un contratista o un administrador jubilado tiene el control práctico, el riesgo no es teórico. La gestión de identidad del sector público debería extenderse a los portales de registro y a las herramientas de seguridad de enrutamiento.

El tercer elemento es la claridad contractual. Los contratos de conectividad y alojamiento deberían especificar las responsabilidades del registro. Deberían exigir contactos actualizados, soporte oportuno para cambios, notificación de disputas, preservación del estado de RPKI y DNS inverso durante la transición, cooperación en la renumeración y evidencia de las tarifas o la situación de membresía cuando corresponda. Los contratos también deberían prohibir a los proveedores utilizar el acceso al registro como palanca en disputas comerciales no relacionadas que afecten a los servicios públicos. La continuidad pública debería aislarse de la negociación privada siempre que sea posible.

El cuarto elemento es la gestión no destructiva de disputas. Si un registro, proveedor, arrendador o agencia disputa el estado de un recurso, la opción predeterminada debería ser la preservación del último estado operativo verificado mientras se evalúan las pruebas. Las transferencias conflictivas pueden congelarse; los registros en disputa pueden señalarse; las soluciones severas pueden esperar a una adjudicación independiente. Esto no es una exigencia de que los malos actores conserven los beneficios indefinidamente. Es el reconocimiento de que los servicios públicos no deberían convertirse en daños colaterales en una lucha por la autoridad administrativa.

El quinto elemento es la conmutación por error para los servicios de publicación y seguridad. Los datos de RDAP y Whois, las delegaciones de DNS inverso, los registros IRR y los materiales RPKI requieren planes de continuidad probados. En particular, RPKI no puede tratarse como una copia de seguridad de archivos. La custodia de claves, los repositorios, los manifiestos, las revocaciones, los anclajes de confianza y el comportamiento de las partes confiadas requieren un diseño cuidadoso. Si un registro regional se enfrentara a una incapacidad técnica o legal para publicar de forma fiable, las agencias públicas deberían saber cómo se preservaría o migraría su evidencia de origen de ruta bajo un proceso reconocido.

El sexto elemento es el ensayo periódico. Un plan que solo existe como un párrafo en una política de recuperación ante desastres no sobrevivirá a un evento real del registro. Las agencias deberían probar los cambios de contacto, las actualizaciones de DNS inverso, la sustitución de ROA, la migración de proveedores y la escalada de incidentes en condiciones controladas. Deberían descubrir en el ensayo si la cuenta del registro pertenece a una oficina de proyecto desaparecida, si el proveedor puede obtener aprobaciones fuera del horario laboral, si el asesor jurídico entiende el acuerdo de recursos y si el centro de operaciones de seguridad puede distinguir un incidente de enrutamiento de una interrupción de la aplicación.

Por último, la arquitectura de continuidad requiere una escalada de la gobernanza. Las agencias públicas deberían establecer contactos permanentes con los operadores de redes nacionales, los equipos de respuesta a emergencias informáticas, las autoridades de contratación pública y, cuando proceda, los canales de cuentas de AFRINIC. El objetivo no es el control político. Es la preparación operativa. Cuando un plazo de declaración, un incidente hospitalario o un evento de los servicios de emergencia coincide con la incertidumbre del registro, el Estado no debería estar descubriendo su dependencia de direcciones por primera vez.

Qué aspecto debería tener un trato defendible con el registro

AFRINIC todavía puede considerarse una institución que vale la pena preservar, pero no porque ningún registro merezca inmunidad frente a la rendición de cuentas. Vale la pena preservarla si puede desempeñar las funciones limitadas y críticas de las que dependen las redes y los servicios públicos de la región: unicidad, registro preciso, publicación fiable, procedimientos justos, soporte de enrutamiento seguro, gobernanza transparente de los miembros y gestión proporcionada de las disputas. Esas funciones son valiosas precisamente por ser aburridas. Cuanto más dramática se vuelve la reivindicación institucional, menos confianza inspira en los gestores de riesgos.

El trato que AFRINIC debería ofrecer al sector público es práctico. Debería dejar claro que la continuidad de los servicios públicos es una preocupación de primer orden en las disputas. Debería distinguir entre la corrección de registros y la aplicación punitiva. Debería publicar suficientes garantías operativas en torno a RDAP, Whois, DNS inverso, IRR y RPKI para que las principales agencias y operadores públicos evalúen la dependencia. Debería apoyar las elecciones de los miembros y la reforma de la gobernanza sin fingir que una región de servicio crea un mandato político único. Debería acoger con satisfacción la auditoría independiente de las funciones de continuidad porque la confianza en el registro es el producto.

Los gobiernos, a su vez, deberían resistir la tentación de convertir la debilidad del registro en una reivindicación de mando político. La dependencia del sector público no demuestra que los ministerios deban controlar la base de datos de AFRINIC. Demuestra que el Estado debe comprender las dependencias que sustentan sus servicios, exigir protecciones contractuales adecuadas a los operadores y proveedores, y apoyar diseños institucionales que mantengan la capa de registro neutral, portable, auditable y resiliente. El interés público no se satisface sustituyendo a un guardián por otro.

Las acusaciones de robo de direcciones mostraron el daño causado cuando la integridad de los registros es débil. La disputa de Cloud Innovation mostró cómo la aplicación puede volverse existencial cuando los recursos escasos están integrados en la continuidad del negocio y del cliente. La administración judicial y la discontinuidad electoral mostraron que incluso un registro técnico puede convertirse en un problema de contratación y confianza. El historial de gobernanza de 2025 y 2026 mostró que la recuperación es posible pero frágil. En conjunto, estos episodios apuntan a una sola conclusión: la continuidad del registro no es una preferencia abstracta. Es parte de la resiliencia de los servicios públicos.

El mismo principio debería guiar cualquier intervención de emergencia. Si otro registro regional, ICANN, un funcionario designado por un tribunal o una entidad sucesora tuviera que preservar las funciones de AFRINIC, el objetivo no debería ser ganar una discusión de gobernanza. El objetivo debería ser mantener los registros coherentes, los servicios disponibles, los cambios controlados y las redes públicas activas protegidas. La capa de registro debería ser capaz de sobrevivir a la tensión institucional precisamente porque sus usuarios, incluidos los gobiernos, no pueden pausar sus servicios mientras los actores de la gobernanza de internet resuelven la autoridad.

Un trato defendible, por tanto, tiene dos caras. Los registros no deberían reducirse a archivadores pasivos incapaces de corregir el fraude. Las agencias públicas no deberían tratar los registros como servicios públicos invisibles sin riesgo de gobernanza. El punto medio es más exigente y menos teatral: autoridad limitada, sólidos registros de auditoría, decisiones recurribles, gestión no destructiva de disputas, continuidad del servicio para funciones públicas críticas y transparencia sobre las dependencias operativas. Ese trato es menos emocionante que la retórica de crisis. Es mucho más útil para ministerios, hospitales, tribunales y empresas de servicios públicos.

De vuelta a la sala de plazos

La sala de continuidad del principio debería añadir una columna más a su tablero de riesgos. Junto a la nube, la ciberseguridad, los pagos, el personal y la recuperación ante desastres, debería figurar la capa de registro. Bajo ese epígrafe deberían aparecer los bloques IPv4 públicos, el titular registrado, los contactos RDAP, la autoridad de DNS inverso, el estado de RPKI, los orígenes de ruta, las obligaciones de los proveedores, el historial de disputas y el plan de conmutación por error. La columna tendrá un aspecto técnico. No es meramente técnica. Es la cadena de custodia de la accesibilidad.

Una vez que exista esa columna, la conversación cambia. La autoridad tributaria puede preguntar si las direcciones del portal de declaraciones se mantienen directamente, a través de un proveedor o a través de una entidad heredada. Aduanas puede preguntar si una migración de proveedor requeriría nuevos ROA antes de la fecha legal de puesta en marcha. Una red hospitalaria puede preguntar si las clínicas regionales dependen de registros de DNS inverso gestionados por un contratista que ya no está en el ámbito. Un sistema judicial puede preguntar si las integraciones de los bufetes de abogados y la policía contienen listas de permisos codificadas. Una agencia de prestaciones puede preguntar si sus socios de pago saben a quién contactar si se filtra una ruta. Una empresa de servicios públicos estatal puede preguntar si las herramientas de restauración del servicio orientadas al público dependen de una cuenta de registro controlada por una unidad de negocio que ya no existe.

Estas preguntas no son glamurosas. No producen el tipo de anuncio que acompaña a un nuevo portal o centro de datos. Pero son las preguntas que separan un servicio con un sitio web de un servicio con resiliencia institucional. Un portal público no es solo código. Es una cadena de dependencias que recorre direcciones, nombres, rutas, contratos, personas y procedimientos. Cuando alguna parte de esa cadena no está documentada, el Estado está tomando prestada la continuidad de la suerte.

La historia reciente de AFRINIC no significa que todos los servicios públicos africanos estén a punto de fallar, ni que todas las agencias deban entrar en pánico por sus prefijos. Significa que al sector público se le ha dado una visión inusualmente clara de una dependencia que siempre estuvo presente. Un registro puede enfrentarse a litigios y seguir publicando registros. Una junta directiva puede ser impugnada mientras se atienden las solicitudes. Un interventor puede preservar el statu quo mientras los servicios técnicos continúan. El riesgo no siempre es una interrupción inmediata. A menudo es la acumulación de incertidumbre hasta que la próxima migración, incidente, auditoría, impugnación de contratación o plazo legal expone la autoridad faltante.

Si hay una lección constructiva, es que el sector público debería dejar de tratar el directorio de direcciones como una comodidad invisible. El directorio de direcciones no es dueño de las casas, no manda en las calles ni dirige los servicios. Pero cuando las casas son portales tributarios, pasarelas aduaneras, hospitales, tribunales, sistemas de prestaciones, comunicaciones de emergencia y servicios públicos estatales, el directorio de direcciones debe ser fiable. La dependencia del sector público de las direcciones es la economía de esa dependencia: un Estado puede controlar el servicio y aun así depender de un registro que no controla.

La sala de plazos no necesita una teoría abstracta. Necesita una lista de prefijos, contactos actualizados, DNS inverso fiable, evidencia de enrutamiento válida, obligaciones contractuales, vías de escalada y un respaldo probado. Necesita saber qué registros pueden cambiarse, por quién, bajo qué autoridad y con qué rapidez. Necesita saber si una disputa en el registro o en la capa del proveedor preservaría el último estado operativo verificado o convertiría el servicio público en una moneda de cambio. Sobre todo, necesita hacer legible la dependencia antes de que un plazo rutinario se convierta en una emergencia de servicio público. La respuesta sostenible no es la negación, la captura o el mito. Es la continuidad por diseño.