Se supone que una atestación de origen de ruta es el tipo de cosa que una junta directiva nunca tiene que discutir. Es una pequeña declaración criptográfica, publicada por o para un titular de recursos de red, que informa al resto del sistema de enrutamiento qué sistema autónomo está autorizado para originar un prefijo IP particular. Los ingenieros la conocen como ROA, parte de la Infraestructura de Clave Pública de Recursos (RPKI, por sus siglas en inglés). Los ejecutivos suelen encontrarse con ella solo después de que algo sale mal: un cliente pregunta por qué se está filtrando una ruta, un proveedor de tránsito quiere prueba de autorización, un asegurador pregunta cómo se controla el riesgo de secuestro de rutas, un abogado de adquisiciones pregunta si el espacio de direcciones de la empresa objetivo puede seguir funcionando después del cierre, o un prestamista pregunta si los ingresos vinculados a una cartera IPv4 dependen de una cadena de certificados controlada por una institución en dificultades.

Es entonces cuando RPKI deja de parecer una plomería de seguridad de red y empieza a parecer un crédito institucional. Un ROA no es simplemente una línea en un sistema técnico. Es una afirmación de que la autoridad del registro sobre un bloque puede ser considerada lo suficientemente confiable como para que los enrutadores, las contrapartes y los clientes actúen en consecuencia. La parte que confía quizás nunca hable con el registro. Es posible que solo vea que una ruta es válida, inválida o no se encuentra bajo una cadena de certificados. Sin embargo, detrás de ese estado de validación conciso hay un acuerdo social en capas: el registro sabe con precisión quién tiene el recurso; el titular o su operador autorizado controla la cuenta correcta; las claves y los sistemas de publicación correspondientes están intactos; la revocación es lícita y revisable; y la continuidad institucional es lo suficientemente sólida como para que una pelea judicial, una administración judicial, un colapso de la junta o un defecto en los registros no cambie silenciosamente las suposiciones operativas de una red.

AFRINIC es la prueba más aguda actual de ese acuerdo. El African Network Information Centre (AFRINIC) es el registro regional de internet para África y partes del Océano Índico. Es una organización sin fines de lucro mauriciana, basada en miembros, que distribuye y registra direcciones IPv4, prefijos IPv6 y números de sistema autónomo, al tiempo que ofrece servicios como WHOIS, RDAP, DNS inverso, un registro de enrutamiento de internet y un Programa de Certificación de Recursos para RPKI. En tiempos normales, ese catálogo suena como un conjunto de funciones de registro. En tiempos de estrés, es una lista de dependencias. La misma cuenta de miembro que solicita una actualización de registro también puede ser la vía a través de la cual se crea material de certificación. El mismo hecho de registro que identifica a un titular puede determinar quién puede publicar un ROA. La misma junta que autoriza litigios, presupuestos y a la alta dirección puede influir en si el personal, los sistemas y los servicios a miembros permanecen lo suficientemente estables como para que se pueda confiar en la publicación de la seguridad de enrutamiento.

El riesgo no es que AFRINIC pueda desconectar internet en África emitiendo una orden dramática. RPKI es más sutil que eso, y las redes operativas tienen muchas capas de resiliencia. El riesgo es que RPKI convierte la legitimidad del registro en una dependencia de enrutamiento legible por máquina. Cuando los operadores configuran sus enrutadores para rechazar orígenes inválidos, no solo están confiando en la criptografía. Están confiando en la institución que ancla la cadena criptográfica. Esa institución debe ser aburrida de una manera específica: precisa en sus registros, comedida en la aplicación de normas, lo suficientemente solvente para operar, lo suficientemente legítima para tomar decisiones, lo suficientemente disciplinada para no usar los servicios de seguridad como palanca, y lo suficientemente continua para que los tribunales o los administradores judiciales puedan preservar la función sin convertir la publicación de origen de ruta en otro campo de batalla.

La historia reciente de AFRINIC hace que esa dependencia sea legible. Los informes públicos han descrito alegaciones anteriores de corrupción de registros de direcciones que involucraban valioso espacio IPv4 africano. La disputa con Cloud Innovation convirtió la revisión de recursos, la interpretación del uso regional y la actividad comercial de IPv4 en litigio. El Internet Governance Project informó que en julio de 2021 una orden judicial de Mauricio congeló provisionalmente hasta 50 millones de dólares estadounidenses en cuentas bancarias de AFRINIC, una medida que amenazó las operaciones ordinarias. La Number Resource Organization describió más tarde una orden judicial de 2023 que nombraba a un administrador judicial cuyo papel incluía preservar el statu quo, supervisar las elecciones y restaurar una gobernanza funcional. The Register hizo un seguimiento de la crisis electoral posterior: un registro sin una junta normal ni un director ejecutivo, advertencias sobre credenciales, preocupaciones del ICANN, retrasos en las votaciones, alegaciones relacionadas con poderes notariales, anulación de una elección de junio de 2025, posterior restauración de la junta y litigios que continúan hasta 2026. Estos episodios no prueban todas las afirmaciones hechas por ninguna de las partes. Sí prueban que la capa institucional del registro se convirtió en una superficie de riesgo viva.

RPKI es la parte de esa superficie que merece especial atención porque comprime la cuestión institucional en un resultado criptográfico. Un registro público puede ser verificado por una persona. Una delegación de DNS inverso puede fallar de manera ruidosa. Los datos de WHOIS o RDAP pueden parecer obsoletos y aún así ser interpretados con cautela. RPKI está diseñado para la automatización. Invita a los operadores a dejar que los validadores conviertan las afirmaciones respaldadas por el registro en decisiones de enrutamiento. Ese es su valor de seguridad. También es su riesgo de gobernanza. Cuando se confía en el registro, la automatización reduce los costos de secuestro y error. Cuando la legitimidad del registro está en disputa, la automatización puede transmitir la falla institucional de manera más rápida y silenciosa que la antigua dependencia manual.

La validación de origen de ruta sigue siendo técnicamente útil, y AFRINIC no debería retirarse de ella. La cuestión es qué economía institucional revela RPKI. Muestra que el registro ya no es solo un custodio administrativo cuyas entradas pueden ser inspeccionadas después del hecho. Es una capa de confianza delegada cuyos certificados pueden afectar el tratamiento de rutas activas. En una región donde la escasez de IPv4 ha convertido los bloques de direcciones en valiosos insumos comerciales, donde el arrendamiento y las transferencias hacen común la separación entre titular y operador, y donde la gobernanza, los tribunales, la administración judicial, el control de cuentas y la precisión de los registros han estado todos bajo tensión, esa capa de confianza se convierte en un riesgo operativo y de mercado por derecho propio.

El certificado detrás de la ruta

RPKI a menudo se explica como una respuesta técnica a un problema de seguridad de enrutamiento. El Protocolo de Puerta de Enlace de Frontera (BGP) permite a las redes anunciar accesibilidad a prefijos IP, pero originalmente no fue diseñado para probar que el sistema autónomo que anuncia está autorizado por el titular del recurso reconocido. Los errores, fugas y secuestros pueden propagarse porque los enrutadores ven una ruta, no una prueba legal o administrativa de la autoridad de origen. RPKI añade una jerarquía de certificación de recursos. En la cima están los anclajes de confianza asociados con los registros regionales. Debajo hay certificados que cubren recursos. Una autorización de origen de ruta dice, en efecto, que un sistema autónomo especificado puede originar un prefijo especificado, generalmente dentro de una longitud máxima de prefijo. Los validadores obtienen material del repositorio, verifican las cadenas de certificados y producen los estados sobre los cuales pueden actuar los filtros de ruta.

La mecánica importa porque revela la dependencia económica. La declaración de origen de ruta es criptográfica, pero la autoridad detrás de ella es institucional. Un validador no sabe por sí mismo si una empresa en Lagos, Mauricio, Johannesburgo, Nairobi, Dubái o Hong Kong tiene el mejor reclamo contractual sobre un bloque. Sabe si un objeto publicado encadena de vuelta a un anclaje de confianza reconocido y se ajusta a los datos disponibles a través de ese sistema. El certificado no elimina la necesidad de un registro. Hace que el reconocimiento del registro sea más difícil, más portátil y más automatizable.

En un modelo RPKI alojado, el registro o sus sistemas pueden crear y publicar material de certificación después de que el miembro utilice un portal o cuenta para expresar la autorización deseada. En un modelo delegado, un miembro puede ejecutar más de su propia operación de certificación, pero la cadena aún comienza desde el anclaje de confianza del registro y la relación del certificado de recurso. De cualquier manera, el papel del registro no es incidental. Es la raíz institucional que permite a las partes confiantes tratar un objeto criptográfico como significativo. Si los registros de recursos del registro son incorrectos, si el control de la cuenta está comprometido, si la autoridad de un miembro está en disputa, si un certificado es revocado sin un proceso claro, o si la publicación se interrumpe, la capa de seguridad de enrutamiento hereda el problema.

Esto es diferente de la ciberseguridad ordinaria. Un firewall, un almacén de claves o un enrutador pueden ser auditados como un activo bajo el control del operador. RPKI está en parte bajo el control del operador y en parte bajo un acuerdo de confianza regional. El operador puede elegir si crear un ROA, mantener su conjunto de rutas, asegurar sus cuentas y monitorear los inválidos. No puede por sí mismo determinar si el registro regional sigue siendo legítimo, solvente, capaz de publicar, cuidadoso en la revocación o aislado de litigios. Una cadena de certificados es, por lo tanto, un bien híbrido: parte software, parte ley de registro, parte relación con el miembro, parte confianza del mercado.

Es fácil pasar por alto ese carácter híbrido cuando RPKI funciona. Un estado de origen de ruta válido parece limpio. Un ingeniero de red ve que el prefijo está cubierto, el sistema autónomo de origen coincide y el validador está satisfecho. Un proveedor de tránsito puede aumentar la preferencia de las rutas válidas o filtrar las inválidas. Un cliente puede solicitar una postura de seguridad de enrutamiento como parte de la contratación. Una junta directiva puede aceptar una breve garantía de que la empresa ha "implementado RPKI". Pero esa frase oculta la institución detrás de la implementación. No dice nada sobre quién puede alterar el ROA mañana, qué sucede si el titular pierde el acceso al portal, si un arrendatario puede obtener la autorización correcta de un arrendador, cómo se maneja una transferencia en disputa, si una orden judicial restringe los cambios, o si un administrador judicial puede mantener la neutralidad de los servicios de certificación.

La analogía económica es una carta de crédito en lugar de un candado. La criptografía verifica que la carta es auténtica. El mercado aún pregunta si el banco la respalda. Si el banco está bien gobernado, capitalizado y supervisado legalmente, se confía en la carta. Si el banco está en administración judicial, peleando por los firmantes y sujeto a órdenes de congelación, la misma forma técnica conlleva un riesgo diferente. En RPKI, el registro no es un banco, pero cumple una función de confianza relacionada para la dependencia del origen de ruta. Al mercado le importa menos los eslóganes institucionales que si la afirmación sobrevivirá al estrés.

Por eso la historia de RPKI de AFRINIC no puede separarse de su historia de gobernanza. El material de servicio público de AFRINIC coloca a RPKI junto con la gestión de recursos, DNS inverso, WHOIS, RDAP e IRR. Eso es preciso, pero subestima el carácter especial de RPKI. WHOIS y RDAP publican información. El DNS inverso delega una función de nombres. Los objetos IRR guían la política de enrutamiento, a menudo con precaución porque la calidad de los datos varía. RPKI pide a los enrutadores que confíen en la autoridad criptográfica del recurso. Cuantas más redes traten los inválidos como rutas a rechazar, más convierte RPKI el reconocimiento institucional en resultado operativo.

La consecuencia es un nuevo tipo de diligencia. Una empresa que compra o arrienda espacio IPv4 en la región de AFRINIC no solo pregunta si el bloque está enrutado, si los contactos están actualizados, si la reputación de abuso está limpia y si se puede delegar el DNS inverso. Pregunta quién puede publicar ROAs, si los ROAs pueden transferirse o reemitirse rápidamente, si las rutas de los clientes podrían volverse inválidas si surge una disputa de registro, y si la continuidad del propio registro podría afectar la publicación. Para un operador de red, esas preguntas son técnicas. Para un director financiero, son preguntas de protección de ingresos. Para un abogado, son preguntas de autoridad y responsabilidad. Para una junta directiva, son riesgo empresarial.

RPKI fuerza así un cambio de vocabulario. La cuestión importante no es simplemente la "adopción de seguridad". Es la confianza institucional delegada. Un sistema de seguridad de enrutamiento no puede juzgarse solo por cuántos prefijos tienen ROAs o cuántas redes filtran inválidos. También debe juzgarse por la resiliencia y la contención de la autoridad que puede emitir, alojar, revocar, suspender, preservar o no publicar el material subyacente. AFRINIC es un caso de estudio porque su crisis muestra lo que sucede cuando el entorno corporativo y legal del anclaje de confianza deja de ser invisible.

Por qué AFRINIC hace visible el acuerdo oculto

AFRINIC no es importante para esta cuestión porque sea singularmente incapaz de gestionar servicios técnicos. El registro público sugiere lo contrario en un aspecto: el personal mantuvo muchos servicios operativos durante años de turbulencia. AFRINIC es importante porque expone condiciones que muchos sistemas de registro prefieren mantener abstractas. Es una corporación privada, basada en miembros, bajo la legislación nacional. Realiza una función de coordinación regional con efectos transfronterizos. Sus miembros no pueden simplemente trasladar sus recursos africanos a otro registro regional si la gobernanza se vuelve incómoda. Administra recursos IPv4 escasos cuyo valor de mercado puede empequeñecer las cuotas anuales de membresía. Ofrece servicios técnicos de confianza que dependen del mismo sistema de reconocimiento que los tribunales, los miembros y los litigantes han impugnado.

Esa combinación hace que el acuerdo institucional sea inusualmente visible. En un registro estable, RPKI parece ser un servicio estándar. En el caso de AFRINIC, los eventos circundantes hacen explícita cada suposición. ¿Quién habla por el registro cuando no hay una junta normal? ¿Quién controla los presupuestos si las cuentas bancarias están restringidas? ¿Quién supervisa al personal durante una administración judicial? ¿Quién verifica la autoridad de los miembros cuando las credenciales electorales están en disputa? ¿Quién decide si el uso de recursos de un miembro infringe la política? ¿Quién preserva la publicación de RPKI si el litigio solicita órdenes que afecten cuentas, recursos o control corporativo? ¿Quién evita que una disputa sobre los puestos de la junta se convierta en una disputa sobre la confianza operativa?

La respuesta no puede ser simplemente "la comunidad". Esa palabra hace un trabajo útil en el desarrollo de políticas, pero RPKI requiere una autoridad operativa responsable. Una parte que confía en otro país no puede inspeccionar un consenso de lista de correo antes de aceptar o rechazar una ruta. Ve un objeto en un repositorio y un resultado de validación. El sistema, por lo tanto, depende de una cadena más estrecha de hechos institucionales: el recurso fue asignado o delegado; el titular u operador autorizado tiene autoridad; la cuenta es segura; el material de certificación fue publicado bajo control adecuado; y el registro sigue siendo capaz de cumplir su función. El lenguaje comunitario puede explicar cómo surgen las políticas. No gestiona por sí mismo el control de claves.

Tampoco puede ser simplemente "los tribunales". Los tribunales son esenciales porque AFRINIC no es soberano y sus miembros necesitan recursos legales. El nombramiento de un administrador judicial en Mauricio fue una medida de continuidad supervisada por el tribunal, no un apagón de internet. Mostró que las instituciones legales ordinarias pueden preservar una corporación privada que realiza una función técnica de tipo público. Sin embargo, los tribunales no son operadores de enrutamiento y no se les debería pedir que rediseñen RPKI bajo presión de emergencia. Un tribunal puede restringir la acción corporativa, nombrar un administrador, ordenar aclaraciones, escuchar argumentos de disolución o decidir reclamaciones contractuales. No puede ser la fuente diaria de confianza de que cada ROA permanece operativamente neutral.

La cuestión económica es que RPKI colapsa la tolerancia al retraso. Un proceso judicial lento puede ser soportable para una reclamación por daños. Una disputa de miembros lenta puede ser soportable para una elección. Una transferencia lenta puede ser costosa pero negociable. Un problema de publicación de origen de ruta puede hacerse visible en minutos u horas si cambia el estado de validación y las redes lo aplican. Incluso si no ocurre una invalidación dramática, la posibilidad cambia el comportamiento. Los clientes piden garantías a los proveedores. Los arrendadores incorporan cláusulas sobre el mantenimiento de ROAs. Los compradores exigen condiciones de entrega. Los proveedores de tránsito preguntan por la higiene de las rutas. Los servicios en la nube monitorean los estados inválidos. La condición institucional del registro se convierte, por lo tanto, en parte de la discusión sobre el nivel de servicio.

La crisis de AFRINIC también muestra cómo RPKI puede situarse en la intersección de tres disputas que a menudo se mantienen separadas: la legitimidad de la gobernanza, la precisión de los registros y el uso comercial. La legitimidad de la gobernanza pregunta si la junta, el administrador judicial, el personal y los procesos corporativos tienen derecho a actuar. La precisión de los registros pregunta si el registro conoce al verdadero titular y a los contactos autorizados. Las disputas sobre el uso comercial preguntan si el arrendamiento, las transferencias o los clientes fuera de la región de un titular son consistentes con la política y los acuerdos. RPKI necesita que las tres sean estables. Si la legitimidad está en disputa, la autoridad de publicación se cuestiona. Si los datos son incorrectos, el actor equivocado puede crear o retener un ROA. Si el uso comercial está en disputa, el registro puede verse tentado a tratar la certificación como un punto de control en lugar de un servicio de seguridad neutral.

Esa tentación es la más importante. RPKI no debería convertirse en un arma de ejecución. Un registro debe ser capaz de corregir el fraude, suspender cuentas comprometidas, cumplir órdenes judiciales y prevenir la certificación falsa. Pero si puede usar la publicación de origen de ruta como palanca en disputas ordinarias sobre tarifas, interpretación de políticas, arrendamiento, transferencias o política de miembros, la capa de confianza se convierte en una capa de control de acceso. Los operadores se enfrentan entonces a una elección entre adoptar RPKI para la seguridad y limitar la adopción para evitar la dependencia de un registro en cuya discreción no confían. Eso sería un resultado perverso: una herramienta de seguridad debilitada por el riesgo de gobernanza.

Los hechos particulares de AFRINIC dan fuerza a este problema. Las alegaciones de 2019 sobre los registros de direcciones hicieron de la integridad del libro mayor una preocupación real. La disputa de Cloud Innovation hizo que el uso comercial de IPv4 y la interpretación de políticas fueran económicamente explosivos. La congelación de cuentas reportada en 2021 hizo visible la solvencia institucional y el efectivo operativo. La administración judicial hizo visible la continuidad judicial. Las disputas electorales de 2025 hicieron visible la autoridad de los miembros y la legitimidad de la junta. Los litigios que continúan hasta 2026 hicieron que la recuperación fuera incompleta. Cada episodio toca una condición previa de la confianza en RPKI: registros precisos, cuentas confiables, operación solvente, autoridad legal, supervisión legítima y publicación estable.

El resultado no es un argumento contra RPKI. Es un argumento para tratar a RPKI como infraestructura de confianza crítica en lugar de un complemento del registro. En la región de AFRINIC, y eventualmente en todas las regiones, la certificación de origen de ruta necesita una constitución de continuidad propia. Debe estar aislada de la ejecución discrecional. Debe tener una autoridad de emergencia documentada. Debe proteger la publicación durante el estrés corporativo. Debe distinguir el compromiso de la cuenta de la disputa del miembro. Debe dar a los titulares de recursos y a las partes confiadas un aviso claro de los cambios. Debe ser auditada como un servicio de altas consecuencias, no simplemente contabilizada como una métrica de adopción.

AFRINIC hace visible el problema porque su crisis comprimió años de debate abstracto sobre la gobernanza en preguntas prácticas que las redes pueden entender. Si la ruta es válida porque la cadena de confianza del registro lo dice, ¿qué sucede cuando el propio registro está en los tribunales?

La escasez convierte la publicación en palanca

El riesgo de gobernanza de RPKI es más agudo en IPv4 que en IPv6 porque la escasez da a cada control administrativo un precio. El espacio de direcciones IPv6 es lo suficientemente abundante como para que la pérdida, el retraso o la disputa en torno a una asignación sea grave pero, por lo general, no un evento de escasez a nivel de mercado. IPv4 es diferente. El propio material de agotamiento de AFRINIC dice que la región entró en la Fase 1 de Aterrizaje Suave en marzo de 2017 y en la Fase 2 en enero de 2020. Describe IPv4 como escaso y explica que la política de asignación de la región pasó a fases restringidas tras el agotamiento global. Informes públicos posteriores en 2026 citaron a un ejecutivo de AFRINIC diciendo que el registro todavía tenía 773.376 direcciones IPv4 sin asignar y expresando su deseo de llegar a cero para que la conversación pudiera pasar a IPv6. Esa aspiración no elimina el problema de la transición. Lo confirma.

IPv4 sigue siendo la capa de compatibilidad para gran parte de la internet comercial. Empresas, plataformas de contenido, empresas de alojamiento, redes de consumo, servicios públicos, sistemas anti-abuso y entornos de clientes heredados aún dependen de la accesibilidad IPv4. El despliegue de IPv6 importa y debe continuar, pero IPv6 no es un sustituto simple de los activos en la realidad comercial actual. Un negocio que necesita IPv4 preparado para el cliente no siempre puede reemplazarlo con un discurso estratégico sobre el futuro. Debe comprar, arrendar, transferir, limpiar, enrutar y certificar números escasos hoy.

La escasez cambia el significado de un ROA. En un sistema abundante, una autorización de origen de ruta errónea o retrasada puede ser un defecto operativo. En un sistema escaso, puede perjudicar un flujo de ingresos respaldado por activos. Un bloque IPv4 limpio con registro estable, DNS inverso, contactos de abuso y autoridad RPKI puede soportar clientes de alojamiento, capacidad en la nube, conectividad empresarial, servicios gestionados, supuestos financieros e ingresos por arrendamiento. Un bloque cuyo estado de ROA depende de una cuenta de titular en disputa, una transferencia impugnada, una autoridad de arrendador poco clara o un expediente de ejecución del registro conlleva un descuento. La misma longitud de prefijo puede tener una calidad económica diferente dependiendo de la confianza en torno a la publicación.

Las transferencias y el arrendamiento hacen esto más complejo. Un titular puede retener la relación con el registro mientras un cliente o arrendatario opera la ruta. Un comprador puede querer que un ROA cambie de origen después del cierre. Un corredor puede necesitar demostrar que el vendedor puede entregar no solo un contrato privado, sino también una autoridad de origen de ruta reconocida por el registro. Un arrendatario puede necesitar que el arrendador publique un ROA para el sistema autónomo del arrendatario, o puede necesitar control delegado bajo términos claros. Si el registro trata la delegación comercial como sospechosa por defecto, o si la interpretación de la política sobre el uso fuera de la región no está resuelta, las partes no pueden tratar RPKI como una capa de seguridad neutral. Deben tratarla como un posible cuello de botella.

El conflicto de AFRINIC con Cloud Innovation se sitúa en esta intersección. Los análisis públicos han descrito la disputa como involucrando millones de números IPv4, alegaciones de AFRINIC de que el uso infringía el acuerdo de servicio o las expectativas de política, y la posición de Cloud Innovation de que AFRINIC estaba afirmando un control indebido sobre un negocio que utilizaba espacio de direcciones escaso. Los méritos legales exactos corresponden a los tribunales y los contratos. La lección económica es visible sin decidirlos. Cuando un registro puede amenazar la posición de recursos de un gran titular, la autoridad de origen de ruta se convierte en parte del conjunto de remedios percibidos incluso si la disputa inmediata se enmarca en torno a condiciones de membresía o asignación. Cada titular se pregunta entonces si un servicio de certificación podría convertirse en daño colateral.

El riesgo no se limita a la revocación. La no publicación puede ser igual de importante. Si un servicio de registro no está disponible, si una cuenta de portal está suspendida, si un administrador judicial congela las solicitudes de cambio, si el personal duda en procesar las actualizaciones de RPKI de un miembro en disputa, o si una orden judicial se interpreta con cautela, un titular puede ser incapaz de crear o ajustar ROAs a tiempo para un cambio de red. En un mundo de validación de origen de ruta, el retraso no es neutral. Puede restringir una migración, ralentizar la incorporación de clientes, complicar una transferencia, socavar la planificación de redundancia o forzar a los operadores a elegir entre anunciar una ruta sin cobertura ROA o retrasar el servicio.

Cuantas más redes rechacen rutas inválidas, más importa esto. El propósito de RPKI es hacer que los errores de origen sean lo suficientemente costosos como para disuadir los secuestros y las fugas. Pero la aplicación de la ley cambia la estructura de negociación. Si un cliente sabe que el prefijo de un proveedor podría volverse inválido porque el proveedor carece de un control ROA fiable, el cliente puede exigir garantías contractuales más fuertes o elegir otro proveedor. Si un comprador no puede estar seguro de que el cierre incluirá una publicación limpia de origen de ruta, puede retener el pago o exigir indemnizaciones. Si un arrendador no puede garantizar el mantenimiento del ROA para el origen del arrendatario, el precio del arrendamiento cambia. Si un banco ve que los ingresos respaldados por direcciones dependen de la discreción del registro, el préstamo recibe un recorte de gobernanza.

Esto es apalancamiento institucional incluso cuando nadie tiene la intención de usarlo. Un registro puede no usar RPKI como arma deliberadamente. El mero hecho de que la publicación dependa de la autoridad reconocida por el registro le otorga un poder latente. En un entorno de alta confianza, el poder latente es aceptable porque está limitado por normas, contratos, debido proceso y disciplina reputacional. En un entorno de baja confianza, el poder latente se valora como riesgo. La crisis de AFRINIC redujo la tolerancia del mercado a asumir una restricción benigna.

Las garantías oficiales sobre la continuidad son una evidencia útil de la intención, pero no pueden cerrar la cuestión analítica. La declaración de la NRO sobre la administración judicial decía que el administrador ayudaría a garantizar que los miembros siguieran recibiendo servicios de registro. Eso importa. Pero la confianza en el origen de ruta requiere más que una declaración general de continuidad del servicio. Requiere salvaguardas específicas para el servicio: qué sucede con los ROAs alojados durante una administración judicial; quién puede autorizar cambios; si los recursos en disputa permanecen en un estado de retención; qué aviso se da antes de la revocación; cómo se monitorea la integridad de la publicación; si el personal puede procesar solicitudes urgentes de seguridad de enrutamiento; y cómo un miembro puede apelar una decisión que afecte a la certificación con la suficiente rapidez para las necesidades operativas.

La escasez también cambia los incentivos políticos. Una región con IPv4 escaso puede verse tentada a tratar la movilidad de los recursos y el uso comercial como política económica regional. El lenguaje puede ser de administración, conservación o desarrollo. El efecto puede ser el control sobre quién puede monetizar, arrendar, transferir o enrutar direcciones. RPKI no debería ser el mecanismo a través del cual se introduzca ese control en el enrutamiento. Si un debate político quiere limitar las transferencias, debe decirlo y enfrentarse al escrutinio. Si una disputa contractual se refiere a un incumplimiento, debe utilizar remedios legales proporcionados. El sistema de origen de ruta debe seguir siendo una capa de seguridad y autoridad, no una capa encubierta de permiso de mercado.

El caso de AFRINIC convierte, por lo tanto, una cuestión de adopción técnica en una cuestión de diseño de gobernanza. El IPv4 escaso hace que cada canal de publicación controlado por el registro sea económicamente significativo. RPKI es el canal más agudo porque sus resultados pueden ser aplicados automáticamente por otros. Un registro creíble debe demostrar que la adopción de RPKI no aumentará la dependencia de una autoridad arbitraria. Debe mostrar que la ruta más segura es también la ruta más protegida institucionalmente.

Cloud Innovation y la prima de continuidad

La disputa de Cloud Innovation a menudo se narra como un choque entre un registro regional y un gran titular comercial de recursos IPv4 africanos. Eso es cierto pero incompleto. Para el análisis de RPKI, la disputa importa porque muestra cómo un desacuerdo sobre el uso de recursos puede convertirse en una prima de continuidad aplicada a los servicios técnicos de confianza. El mercado no tiene que decidir si AFRINIC o Cloud Innovation tiene razón en cada punto legal. Solo tiene que observar que la ejecución del registro, los remedios del litigio, las congelaciones de cuentas bancarias, el estatus de miembro, el control de cuentas y la legitimidad institucional quedaron vinculados. Una vez vinculados, cada contraparte dependiente de la certificación tiene que preguntar hasta dónde puede extenderse el vínculo.

Los informes públicos del Internet Governance Project en 2021 describieron la acción de AFRINIC contra Cloud Innovation como una respuesta moldeada por problemas anteriores de gobernanza e integridad de los registros, pero la criticaron como una sobrerreacción basada en premisas políticas débiles y una mala gestión del riesgo. También criticaron la respuesta legal de Cloud Innovation como destructiva. Ese relato equilibrado es útil porque el problema institucional no es unilateral. Un registro que nunca hace cumplir las normas invitaría al fraude, a los registros falsos y al uso indebido. Un miembro que puede inmovilizar a un registro regional mediante litigios crea un riesgo sistémico. Pero un registro que utiliza una discreción de graves consecuencias contra recursos vivos crea el riesgo inverso. RPKI se sitúa entre esos riesgos.

La congelación reportada de hasta 50 millones de dólares estadounidenses en las cuentas bancarias de AFRINIC hizo inevitable la cuestión. Una congelación bancaria no altera directamente un ROA, pero cambia la capacidad de la institución para operar, pagar al personal, mantener sistemas y tranquilizar a los miembros. Un administrador judicial puede preservar la continuidad, pero la propia administración judicial indica que la gobernanza ordinaria ha fallado. Una elección de la junta puede restaurar la autoridad formal, pero si la elección se retrasa, se impugna, se suspende, se anula o se vuelve a litigar, cada paso se convierte en un evento de confianza. Las partes que confían en RPKI no necesitan seguir cada alegato para entender la cuestión básica: ¿es la institución del anclaje de confianza lo suficientemente estable como para que la publicación del origen de ruta permanezca neutral y fiable?

La prima de continuidad es el costo añadido a transacciones que de otro modo serían normales porque esa pregunta existe. Aparece cuando un comprador de espacio administrado por AFRINIC exige declaraciones adicionales sobre el control de RPKI. Aparece cuando un arrendatario pregunta si el arrendador puede mantener los ROAs durante todo el arrendamiento. Aparece cuando un cliente de la nube pregunta si las direcciones de un proveedor están expuestas a la acción del registro. Aparece cuando un proveedor de tránsito pide pruebas de que el origen está debidamente autorizado. Aparece cuando un prestamista descuenta los ingresos respaldados por tenencias de direcciones impugnadas o sensibles a la política. Aparece cuando los ingenieros dedican tiempo a monitorear el riesgo institucional en lugar de solo el riesgo de ruta.

Esta prima no es irracional. En RPKI, la diferencia entre válido e inválido puede ser operativamente decisiva para las redes que aplican la validación de origen de ruta. Un titular de recursos que pierde la capacidad de publicar ROAs correctos puede todavía ser capaz de anunciar rutas, pero algunas contrapartes pueden tratar esas rutas con sospecha o rechazarlas si surgen estados inválidos conflictivos. Un titular que no puede actualizar los ROAs durante una migración de origen puede enfrentarse a retrasos. Un titular atrapado en una disputa de transferencia puede ser incapaz de entregar la condición de seguridad de enrutamiento esperada en el cierre. Si suficientes redes importantes tratan RPKI como higiene normal, un control deficiente de RPKI se convierte en un defecto comercial.

La disputa de AFRINIC con Cloud Innovation también destaca la importancia de separar la ejecución de la neutralidad del servicio. Supongamos que un registro cree que un titular ha incumplido los términos del acuerdo. El registro puede necesitar investigar, exigir información, poner una bandera de disputa, solicitar una orden judicial o, en casos extremos, perseguir la rescisión. Pero la neutralidad del servicio plantea una pregunta más concreta: mientras la disputa no se resuelve, ¿deben mantenerse los servicios de seguridad necesarios para proteger la red viva a menos que una razón legal o técnica específica exija lo contrario? La respuesta generalmente debería ser sí. De lo contrario, el registro puede crear la misma inestabilidad que afirma prevenir.

El mismo principio se aplica al control de cuentas. Si la cuenta de un miembro está comprometida, los cambios de RPKI deben congelarse o revertirse según sea necesario. Si un miembro se niega a pagar las tarifas, puede haber consecuencias contractuales. Si un miembro está en una disputa de política, el registro puede restringir ciertas transacciones. Pero las condiciones que afectan a la publicación del origen de ruta deben ser explícitas. Un titular debe saber si el impago, la revisión de recursos, la retención de transferencia, la restricción judicial, la disputa de sucesión corporativa o el presunto uso indebido pueden afectar a la publicación de RPKI, y en qué orden. La ambigüedad es costosa porque permite que cualquier disputa proyecte una sombra sobre la dependencia de la seguridad de enrutamiento.

Esto es particularmente importante cuando el titular y el operador difieren. El arrendamiento de IPv4, las asignaciones a clientes, el alojamiento gestionado y las operaciones de red externalizadas a menudo involucran a una parte que tiene la relación con el registro y a otra que necesita la autoridad de origen de ruta para el servicio. RPKI puede hacer que esa relación sea más segura al hacer explícita la autoridad, o más frágil al forzar cada acuerdo comercial a través de la discreción opaca del registro. Un registro no necesita bendecir cada arrendamiento como política de mercado. Sí necesita una forma clara de permitir que el titular reconocido autorice orígenes operativos sin convertir cada autorización en un juicio ideológico sobre la comercialización de IPv4.

El conflicto de Cloud Innovation muestra el costo de no construir ese límite a tiempo. Una vez que la ejecución se mezcla con argumentos sobre el uso regional, la propiedad de direcciones, el arrendamiento, las tácticas de litigio, la supervivencia del registro y el control de la junta, se sospecha que cada servicio técnico tiene un peso político oculto. Incluso si el personal de AFRINIC continúa gestionando los sistemas de manera profesional, las contrapartes no pueden ignorar el contexto institucional. La capa de confianza se ha vuelto política y legalmente ruidosa.

La lección correcta no es que los registros deban evitar la ejecución. Es que la ejecución debe estar aislada de la continuidad de la seguridad de enrutamiento. Un modelo serio de gobernanza de RPKI establecería que los servicios de certificación para los recursos vivos existentes se mantienen de manera presuntiva durante las disputas; que las restricciones severas requieren motivos legales o de seguridad definidos; que las acciones de emergencia se registran y son revisables; que los cambios de publicación se notifican; que se considera la continuidad del origen de ruta para los usuarios inocentes aguas abajo; y que el registro no puede usar RPKI como palanca económica en una lucha más amplia. Tal modelo protegería tanto al registro como al miembro, porque reduciría el incentivo de tratar cada carta de ejecución como una amenaza a las rutas vivas.

La crisis de AFRINIC convirtió esto de teoría en práctica de mercado. La prima existe ahora porque los participantes pueden imaginar la cadena desde la disputa a la institución, a la publicación, a la ruta. La seguridad de RPKI no puede madurar en un entorno así a menos que la cadena se haga más segura.

Administración judicial, elecciones y autoridad de firma

La administración judicial es un recurso legal, pero en un contexto de registro también es una cuestión sobre quién puede firmar. No solo quién puede firmar un cheque, un contrato o una resolución de la junta, sino quién puede autorizar las condiciones institucionales bajo las cuales se emiten, mantienen y publican los certificados. La declaración de la NRO de 2023 decía que el Tribunal Supremo de Mauricio había nombrado a un administrador judicial para AFRINIC, restringiendo acciones de reubicación o de tipo de adquisición, y encargando al administrador preservar los activos del statu quo, supervisar las elecciones y facilitar una junta directiva y un director ejecutivo adecuados. Como descripción fáctica, es central. Muestra que la supervisión judicial estaba destinada a preservar la continuidad en lugar de liquidar la función del registro.

Para RPKI, sin embargo, la preservación necesita ser traducida en autoridad operativa. Un administrador que preserva activos no es automáticamente un modelo de gobernanza de seguridad de enrutamiento. Si los servicios RPKI alojados continúan, ¿bajo la autoridad operativa delegada de quién actúa el personal? Si un miembro en disputa solicita una actualización de ROA, ¿es una solicitud de servicio ordinaria, un cambio al statu quo o una decisión que requiere revisión legal? Si un certificado debe ser revocado debido a un compromiso, ¿quién aprueba la acción de emergencia? Si una transferencia se cierra durante la administración judicial, ¿se puede crear nuevo material de origen de ruta a tiempo? Si una orden judicial restringe ciertos cambios de miembros, ¿cómo se traduce esa restricción a la publicación de RPKI? Estas preguntas no son académicas. Son la traducción operativa de la angustia corporativa.

Un registro saludable responde a la mayoría de ellas antes de la crisis. Tiene controles internos, autoridad delegada, categorías de servicio documentadas, planes de respuesta a incidentes, registros de auditoría, reglas de notificación a los miembros y vías de escalamiento. Un registro en dificultades las responde bajo presión. El período de administración judicial de AFRINIC importa, por lo tanto, no porque necesariamente causara una falla de RPKI, sino porque reveló la ausencia de una constitución de continuidad ampliamente entendida para la capa de confianza. El público se enteró de que el registro podía ser puesto bajo administración judicial; no se enteró, con igual claridad, de cómo cada servicio técnico crítico estaba aislado del conflicto corporativo.

La secuencia electoral de 2025 extendió el problema de la administración judicial a la legitimidad. The Register informó que AFRINIC no había podido elegir una junta desde 2022 y que un administrador judicial planeó elecciones para junio de 2025, nombrando a abogados británicos senior para supervisar las nominaciones en medio de preocupaciones por interferencia. Más tarde informó sobre las preocupaciones del ICANN, un proceso judicial, la continuación de la votación, luego la suspensión y anulación tras alegaciones relacionadas con poderes notariales y documentación de votantes. Informes posteriores describieron una nueva elección que produjo directores pero dejó posibles desafíos legales, investigaciones gubernamentales y malestar en torno a la influencia. Estos detalles importan para RPKI porque la legitimidad de la junta es la capa de gobernanza por encima de la confianza operativa.

La junta no crea cada ROA. No debería hacerlo. Pero la junta establece las condiciones bajo las cuales se gestionan la política de certificación, la respuesta legal, la situación de los miembros, los presupuestos, el personal, los controles de seguridad y las comunicaciones de crisis. Si la legitimidad de la junta está en disputa, las decisiones sobre acciones severas contra miembros o políticas que afectan a la certificación se vuelven más fáciles de impugnar. Si la junta está ausente, el personal puede volverse cauteloso. Si un administrador judicial es la autoridad práctica, cada decisión sensible corre el riesgo de ser calificada como más allá de la preservación. Si el ICANN u otro organismo externo interviene, los miembros pueden preguntarse si la gobernanza corporativa local o la coordinación global está a cargo. RPKI necesita una respuesta aburrida a quién puede actuar. La historia electoral de AFRINIC hizo la respuesta menos aburrida.

Esto no es una súplica por la tecnocracia sobre la ley. La responsabilidad legal es necesaria. Un registro que controla recursos escasos y servicios de confianza debe estar sujeto a los tribunales, los contratos y el control de los miembros. El problema no es que los tribunales puedan supervisar a AFRINIC. El problema es que la publicación de seguridad de enrutamiento no tiene tolerancia a un vacío de gobernanza. La ley puede revisar la autoridad; no puede sustituir la confianza operativa diaria. Si cada acto impugnado de la junta puede poner en duda la legitimidad de la postura de seguridad de la institución, el registro necesita una separación más fuerte entre la disputa corporativa y la operación de servicios críticos.

Esa separación puede diseñarse. Las operaciones de RPKI pueden ponerse bajo un mandato de continuidad de servicio definido que sobreviva a las lagunas de la junta, sujeto a auditoría y supervisión de emergencia. Los cambios de certificación pueden clasificarse: creación, eliminación o modificación rutinaria de ROA autorizada por el miembro; emergencia de seguridad; transferencia de recursos; recurso restringido por orden judicial; autoridad de miembro en disputa; sospecha de compromiso de cuenta; acción de ejecución severa. Cada clase puede tener un aprobador documentado y una regla de notificación. Los administradores judiciales pueden heredar un manual en lugar de improvisar uno. Las juntas pueden supervisar las políticas y los presupuestos sin microgestionar los objetos de origen de ruta. Los tribunales pueden ver qué acciones preservan el statu quo y cuáles alteran los derechos.

La crisis de AFRINIC sugiere que tal diseño no es opcional. Un anclaje de confianza del registro es un punto único de dependencia institucional incluso si el enrutamiento de internet está distribuido. Los validadores de todo el mundo obtienen material bajo la suposición de que la jerarquía refleja una autoridad de recursos estable. Si la institución detrás de la jerarquía no puede mostrar cómo la autoridad sobrevive a la administración judicial, las elecciones impugnadas o los litigios, los operadores deben aceptar un riesgo oculto o reducir la dependencia. Ninguna de las dos es deseable.

El mercado hará preguntas simples. Si AFRINIC no tiene junta, ¿puede un miembro todavía crear un ROA? Si un administrador judicial está a cargo, ¿puede un receptor de transferencia obtener autoridad de origen de ruta? Si las credenciales de voto de un miembro están en disputa, ¿afecta eso a su cuenta técnica? Si un tribunal cuestiona más tarde una elección de la junta, ¿qué sucede con las decisiones de certificación tomadas mientras tanto? Si el ICANN amenaza con una revisión de cumplimiento, ¿puede otro registro intervenir para funciones de registro de emergencia, y eso incluiría el material de confianza de RPKI? El registro público actual da respuestas institucionales parciales pero no una constitución completa de nivel de servicio. Esa brecha es el riesgo.

La lección más amplia es que la autoridad de firma en la gobernanza de internet no es solo criptográfica. Las claves criptográficas están controladas por personas, contratos, cuentas, órganos corporativos, tribunales y presupuestos. Si esas capas fallan, la clave puede seguir firmando matemáticamente. La pregunta del mercado es si debe confiar en la firma como institucionalmente legítima. La administración judicial y el estrés electoral de AFRINIC hacen que esa pregunta sea inevitable.

Integridad de los registros y dependencia criptográfica

RPKI solo puede ser tan fiable como los hechos del registro subyacentes. La criptografía protege la autenticidad de una declaración; no prueba que el registro subyacente sea verdadero. Si se registra a un titular falso, el sistema puede publicar fielmente una autoridad falsa. Si un contacto autorizado está obsoleto, la persona equivocada puede controlar la publicación. Si los recursos de una empresa inactiva se movieron a través de documentación inadecuada, un ROA puede hacer que la ruta resultante parezca más limpia de lo que merece la historia. Por eso el episodio reportado de corrupción de registros de direcciones de AFRINIC es directamente relevante para el riesgo de gobernanza de RPKI, aunque los informes públicos no trataban principalmente de RPKI.

KrebsOnSecurity informó en 2019 que las alegaciones derivadas de una investigación de varios años involucraban valiosos bloques IPv4 africanos asociados con entidades inactivas o desaparecidas, empresas vinculadas a un ex coordinador de políticas de AFRINIC, y un valor de mercado estimado superior a los 50 millones de dólares para las direcciones afectadas identificadas por el investigador Ron Guilmette. El informe decía que el director ejecutivo de AFRINIC en ese momento reconoció tener conocimiento de las alegaciones y dijo que la organización estaba investigando. Esas son alegaciones e informes, no un relato judicial definitivo de todos los hechos. Pero la importancia económica es clara: una vez que IPv4 tiene un precio de mercado, los registros de registro débiles se convierten en una forma de riesgo de custodia.

RPKI magnifica el riesgo de custodia porque otorga a la autoridad reconocida por el registro una expresión criptográfica. Un cambio falso en la base de datos solía importar porque afectaba a WHOIS, la confianza en las transferencias, los contactos de abuso y las reclamaciones de control. Bajo RPKI, también puede afectar a qué sistema autónomo puede ser autorizado para originar el prefijo. El sistema no está diseñado para investigar el historial de sucesión corporativa o el fraude de empresas inactivas en el momento de la validación. Confía en que el registro ha hecho ese trabajo correctamente. Un validador que ve un ROA válido no tiene memoria independiente de la asignación original, el historial de fusiones, el funcionario que firmó un formulario o las credenciales del personal utilizadas para cambiar un registro.

Esto no hace que RPKI sea inseguro por diseño. Significa que RPKI debe ir acompañado de una gobernanza de registros más sólida. Un registro de alta calidad puede usar RPKI para reducir el riesgo de secuestro precisamente porque tiene registros de titulares fiables y cuentas de miembros seguras. Un registro débil puede usar la misma maquinaria criptográfica para endurecer los errores. La diferencia es la disciplina institucional, no las matemáticas.

El desafío de AFRINIC es doble. Debe reparar y proteger los registros históricos porque los informes públicos han hecho de la corrupción de registros una preocupación creíble. También debe evitar convertir la reparación de registros en una discreción abierta que amenace a los titulares legítimos. Ambas condiciones importan para RPKI. Si la reparación de registros es demasiado débil, se puede certificar una autoridad falsa o comprometida. Si la reparación es demasiado amplia e impredecible, los titulares pueden temer que la certificación sea provisional, sujeta a la interpretación futura del registro sobre el uso antiguo, la necesidad antigua o la política antigua. La confianza requiere un camino estrecho entre esos riesgos.

Ese camino comienza separando la verdad de la preferencia. Un registro tiene todas las razones para verificar si existe un titular, si un representante está autorizado, si un sucesor corporativo tiene documentación válida, si una cuenta fue comprometida, si una fuente de transferencia es el titular reconocido, si una orden judicial restringe la acción y si un ROA solicitado se ajusta al recurso registrado. Esas son preguntas de autoridad. Son directamente relevantes para RPKI. Un registro debería ser mucho más cauteloso a la hora de usar la publicación de RPKI para vigilar si le gusta el modelo de negocio del titular, su estrategia de arrendamiento, la geografía de sus clientes o su visión de los mercados de IPv4. Esas son disputas políticas o comerciales, no automáticamente defectos de certificación.

El control de cuentas es un riesgo especial. RPKI es operativamente poderoso porque una credencial de portal o una clave delegada puede cambiar el estado de origen de ruta. Si la cuenta de un miembro es robada, coaccionada, comprada, mal utilizada por un ex empleado o manipulada a través de un poder notarial impugnado, la autoridad de origen de ruta puede verse afectada. Las controversias electorales de AFRINIC en 2025 involucraron alegaciones sobre credenciales y poderes notariales en el contexto de la votación. Esas alegaciones no prueban por sí mismas un compromiso de la cuenta de RPKI. Sin embargo, ilustran por qué importan los controles de autoridad de los miembros. Un registro que no puede verificar de manera convincente quién puede votar, nombrar un apoderado o actuar en nombre de un miembro tendrá dificultades para tranquilizar al mercado de que todas las acciones de cuenta de altas consecuencias están protegidas.

La respuesta no es publicar indiscriminadamente información privada de los miembros. Es construir controles de autoridad auditables. Para RPKI, eso significa autenticación fuerte, separación clara de roles, confirmación de cambios, registros a prueba de manipulaciones, control dual para acciones severas, procedimientos de bloqueo de emergencia, notificación a los miembros y revisión independiente tras cambios impugnados. También significa separar la autoridad de voto de la autoridad técnica. Una persona que puede votar en una elección no debería poder automáticamente cambiar las autorizaciones de origen de ruta a menos que el miembro haya otorgado expresamente ese rol operativo. Un abogado con un poder notarial para la representación corporativa puede no ser el ingeniero de red que debería controlar los ROAs. La autoridad debe ser granular.

La precisión de los registros también afecta a las relaciones arrendador-arrendatario. Si un titular arrienda direcciones a un operador, el registro puede seguir mostrando al titular mientras RPKI autoriza el origen del operador. Eso no es necesariamente un defecto; puede ser una expresión precisa de la delegación comercial. Pero requiere claridad. El registro debe mostrar suficiente responsabilidad para el abuso, el contacto y la autoridad sin forzar cada término comercial en la base de datos pública. El ROA debe entenderse como una autorización operativa, no como una transferencia de título. Si el arrendamiento termina, el titular debe poder retirar o cambiar el ROA. Si el arrendamiento está en disputa, la continuidad de los clientes aguas abajo puede necesitar un período de curación definido. Sin tales reglas, RPKI se convierte en un amplificador de disputas.

La historia reportada de corrupción de registros de AFRINIC debería, por lo tanto, empujar a la institución hacia una gobernanza de certificación más precisa, no hacia una sospecha general de todo uso comercial de direcciones. La lección de un escándalo de registros es que la autoridad fáctica debe ser verificada. No es que el registro deba esgrimir los servicios de seguridad de enrutamiento como control económico general. Un ecosistema RPKI limpio necesita tanto pruebas más contundentes como una discreción más limitada.

El mercado juzgará por el comportamiento. Si AFRINIC puede demostrar que los cambios de RPKI son rastreables hasta una autoridad verificada, que los recursos en disputa se manejan a través de categorías de estado transparentes, que las acciones de certificación severas son raras y razonadas, y que las autorizaciones operativas ordinarias se procesan dentro de plazos establecidos, la confianza aumentará. Si la certificación parece vulnerable a la política, al estado de ánimo de ejecución, a controles de cuenta débiles o a una reparación de registros opaca, la confianza caerá. Una capa de confianza criptográfica no puede superar la calidad institucional de los registros que certifica.

Revocación, no publicación y el riesgo silencioso de la invalidez

El temor dramático en la gobernanza de RPKI es la revocación: el registro o la autoridad de certificación retira el material de certificación y una ruta que antes era válida se vuelve inválida o no cubierta. Ese riesgo es real, pero es solo una parte del problema. Los riesgos más silenciosos suelen ser más probables y comercialmente más importantes: un miembro no puede publicar un ROA necesario; un ROA antiguo permanece en su lugar después de un cambio de negocio; un nuevo origen no puede ser autorizado antes de una migración; un receptor de transferencia espera la certificación; un recurso en disputa queda en el limbo; un repositorio de publicación falla; un validador ve material obsoleto; o un registro duda en procesar una solicitud porque la autoridad legal no está clara.

En la economía del enrutamiento, la inacción puede ser acción. Un operador de centro de datos que traslada clientes a un nuevo sistema autónomo necesita cambios de ROA oportunos. Un proveedor de nube que divide el tráfico entre proveedores puede necesitar ajustes de prefijo máximo. Un comprador que completa una transferencia de IPv4 puede necesitar autoridad de origen de ruta inmediata para incorporar clientes. Un arrendador que autoriza el origen de un arrendatario puede necesitar una publicación predecible durante todo el plazo. Si el registro no puede actuar, el operador puede enfrentarse a anuncios inválidos, anuncios no validados menos seguros, filtrado de rutas por redes estrictas o un servicio retrasado. La ausencia de una decisión adversa no elimina el costo.

El estrés institucional de AFRINIC hace que el riesgo de no publicación sea plausible incluso sin evidencia de mala conducta específica de RPKI. Una congelación bancaria puede afectar al personal y a los sistemas. Un administrador judicial puede crear cautela en torno a cambios que podrían ser vistos como una alteración del statu quo. Una laguna en la junta puede dejar al personal inseguro sobre decisiones sensibles. Los litigios pueden llevar a los abogados a revisar acciones que antes eran rutinarias. Las disputas electorales pueden cuestionar la autoridad de los miembros. Una solicitud de liquidación puede suscitar temores de continuidad. Cada condición puede ralentizar la capa de servicio operativo incluso si todos los involucrados quieren preservar la internet.

Por eso importan los cortafuegos de servicio. Un registro debe distinguir entre cambios que preservan la continuidad operativa viva y los cambios que alteran el derecho a los recursos. Actualizar un ROA para reflejar una migración de red ya autorizada puede ser preservador de la continuidad. Crear un ROA para una parte cuya autoridad está en disputa puede requerir retención y revisión. Eliminar un ROA debido a un compromiso de cuenta probado puede ser una acción de seguridad de emergencia. Eliminar un ROA debido a una disputa comercial no resuelta puede ser un exceso a menos que un tribunal o una regla clara lo exija. El registro debe clasificar la acción, no simplemente tratar todos los cambios de RPKI como privilegios discrecionales.

La gobernanza de la revocación debería ser especialmente estricta. En un sistema donde las redes que confían pueden descartar rutas inválidas, la revocación puede tener efectos aguas abajo más allá del miembro inmediato. Puede afectar a los clientes, la accesibilidad del contenido, el acceso empresarial, los servicios públicos y la reputación. Algunas revocaciones son necesarias: claves comprometidas, autoridad falsa, devolución de recursos, transferencia completada, certificación duplicada, orden judicial o fraude probado. Pero necesario no significa casual. El registro debería tener motivos definidos, notificación cuando sea factible, excepciones de emergencia, períodos de subsanación cuando sea seguro, registro, apelación y divulgación posterior al incidente, al menos de forma agregada. Un certificado de origen de ruta no debería ser más fácil de interrumpir que una suscripción a una lista de correo.

La gobernanza de la no publicación es más difícil porque a menudo se esconde en el retraso. Un registro puede perjudicar la confianza sin tomar una decisión adversa formal. Puede simplemente no procesar una solicitud. En un entorno comercial normal, el retraso puede medirse en función de un estándar de servicio. En un entorno de registro en dificultades, el retraso puede explicarse por la cautela legal, la falta de autoridad, la escasez de personal, el mantenimiento del sistema o la incertidumbre de las políticas. Al mercado no le importa qué categoría interna se aplica si el resultado es una implementación perdida para el cliente. RPKI necesita compromisos de servicio con plazos y vías de escalamiento precisamente porque la validación de enrutamiento automatizada comprime el costo del retraso.

La crisis más amplia de gobernanza de AFRINIC también plantea la cuestión de la sustitución de emergencia. The Register informó que el ICANN advirtió en 2025 que si AFRINIC fracasaba en una revisión de cumplimiento, se podría pedir a otro registro regional que interviniera como registro de emergencia para África. Esa posibilidad se describió en el contexto de las preocupaciones electorales y de mandato de AFRINIC, no como un plan de conmutación por error de RPKI. Sin embargo, plantea la pregunta obvia: si un registro de emergencia tuviera que preservar los servicios de numeración, ¿cómo migraría o se mantendría el material de confianza de RPKI? ¿Cambiarían los anclajes de confianza? ¿Seguirían siendo válidos los ROAs existentes? ¿Quién notificaría a las partes confiadas? ¿Cómo probarían los titulares su autoridad? ¿Cómo interactuarían los tribunales de Mauricio con un plan de continuidad entre registros?

Esas preguntas no deberían dejarse para el día de la crisis. El valor de RPKI depende de la certeza enrutable. Si la continuidad de emergencia requiere que los validadores, operadores, titulares y tribunales interpreten nuevas relaciones de confianza bajo presión, el sistema transmitirá confusión. Un plan de falla del registro debería incluir la continuidad de RPKI como un servicio de primer orden, no como un apéndice. Debería definir cómo se preservan los repositorios de publicación, cómo se protegen las claves, cómo se mantiene el acceso de los miembros, cómo se maneja la validez de los certificados, cómo se congelan o permiten las revocaciones, y cómo se informa a las partes confiadas en qué confiar.

El riesgo silencioso de la invalidez también interactúa con los seguros y el cumplimiento normativo. Las grandes empresas preguntan cada vez más a los proveedores sobre su postura de seguridad de enrutamiento. Un proveedor que no puede demostrar un control estable de RPKI puede fracasar en una revisión de proveedores. Un cuestionario de seguro cibernético puede preguntar sobre la prevención de secuestros de rutas. Un cliente regulado puede requerir un enrutamiento seguro para servicios sensibles. En tales contextos, el riesgo de gobernanza del registro se convierte en un costo de cumplimiento. Los recursos administrados por AFRINIC pueden ser técnicamente sólidos, pero si el titular no puede dar garantías convincentes sobre la continuidad del ROA en caso de disputa, la empresa puede perder clientes o aceptar condiciones más débiles.

Esto no se debe a que RPKI sea malo. Se debe a que RPKI está funcionando: ha hecho que la autoridad de origen sea lo suficientemente visible como para ser gobernada. El problema es que la autoridad visible debe estar respaldada por salvaguardas institucionales visibles. La crisis de AFRINIC es un recordatorio de que la criptografía puede hacer que un problema de confianza sea más preciso sin hacerlo desaparecer.

El mejor resultado sería aburrido. Los ROAs deben ser creados, modificados y retirados bajo reglas lo suficientemente claras como para que los negocios ordinarios puedan confiar en ellas, los tribunales puedan entenderlas y el personal del registro pueda aplicarlas bajo estrés. Un titular en regla no debería temer que la publicación del origen de ruta pueda ser arrastrada a una pelea política. Un registro no debería temer que preservar el servicio RPKI en vivo le impida actuar contra el fraude. Las partes confiadas no deberían necesitar saber qué disputa electoral u orden judicial se esconde detrás de un estado de validación. Deberían poder confiar en que las reglas de continuidad del servicio separan la seguridad de enrutamiento del combate institucional.

Por qué esto no es una historia de WHOIS, RDAP o DNS inverso

Los servicios de registro de AFRINIC están estrechamente conectados, por lo que es tentador incluir RPKI en una historia genérica de riesgo a nivel de registro. Eso pasaría por alto lo que hace distinta a la certificación de origen de ruta. La precisión de los registros se refiere a si los hechos subyacentes del registro son verdaderos, actuales, atribuibles y fiables. El DNS inverso se refiere a la delegación de nombres y las consecuencias operativas para el correo, los diagnósticos y la reputación de la red. WHOIS y RDAP se refieren al acceso público a los registros, la capacidad de contacto y la diligencia debida. El riesgo genérico a nivel de registro se refiere a la prima global que se crea cuando el custodio de registros se vuelve inestable o discrecional. RPKI es diferente porque convierte la autoridad reconocida en evidencia criptográfica de enrutamiento.

Esa diferencia cambia tanto la velocidad como la opacidad. Un contacto WHOIS obsoleto puede ser notado por un abogado o un equipo de abuso. Un problema de DNS inverso puede diagnosticarse en los registros de correo. Una inconsistencia de RDAP puede discutirse durante la diligencia debida. Un error de ROA puede ser convertido por los validadores y los filtros de ruta en el tratamiento de la ruta en muchas redes. El negocio afectado puede enterarse primero a través de quejas de accesibilidad, alertas de monitoreo o el rechazo de ruta de un proveedor de tránsito. RPKI no es simplemente otra interfaz pública. Es una capa de autorización legible por máquina.

También cambia la audiencia de la confianza. WHOIS y RDAP son leídos por humanos y herramientas, pero sus usuarios suelen saber que los datos del registro pueden ser confusos. Los datos de IRR son utilizados por los sistemas de enrutamiento, pero muchos operadores los tratan con cautela porque la calidad de los objetos varía. RPKI aspira a una mayor garantía. Su propósito es hacer que la autoridad de origen sea más fiable que las reclamaciones informales de enrutamiento. Esa aspiración hace que las debilidades de gobernanza sean más consecuentes. Si RPKI se trata como de alta confianza pero su base institucional es de baja confianza, la brecha se vuelve peligrosa.

La precisión de los registros sigue siendo fundamental. Un registro no puede publicar material RPKI confiable si no sabe quién tiene qué. Las alegaciones reportadas de corrupción de registros de direcciones de AFRINIC importan, por lo tanto. Pero la cuestión de la precisión de la base de datos pregunta si el propio registro puede sustentar la confianza del mercado. La cuestión de RPKI pregunta qué sucede cuando ese registro se utiliza para publicar autoridad criptográfica de enrutamiento. Es la diferencia entre un registro de la propiedad y una cerradura digital vinculada al registro de la propiedad. Si el registro es incorrecto, ambos fallan. Pero la cerradura añade una nueva consecuencia operativa.

El DNS inverso también está relacionado pero es distinto. Una delegación de DNS inverso puede ser valiosa para la reputación del correo, las operaciones de los clientes y los diagnósticos. Depende de las asignaciones registradas y de la autoridad adecuada. Sin embargo, un problema de DNS inverso suele afectar a la confianza de la capa de aplicación y a las expectativas de nomenclatura. RPKI afecta a la validación del origen de ruta. Si una ruta se vuelve inválida bajo un filtrado estricto, el problema de accesibilidad puede ser más amplio e inmediato. La continuidad del nombramiento y la confianza en el origen de ruta dependen de la gobernanza del registro, pero no fallan de la misma manera.

Los registros públicos RDAP y WHOIS tratan de la transparencia y la legibilidad pública. Permiten a las contrapartes ver al titular, los contactos, el estado y los datos relacionados, sujeto a límites de privacidad y política. RPKI puede ser opaco en comparación. Un cliente puede no inspeccionar la cadena de certificados; puede que solo vea que un proveedor pasó una revisión de seguridad. A un enrutador puede no importarle por qué cambió un ROA; solo aplica la política. Esto hace que las salvaguardas de gobernanza sean más importantes, no menos. La automatización reduce la oportunidad de interpretación humana caso por caso.

El problema genérico a nivel de registro pregunta cómo AFRINIC se convirtió en una prima de riesgo por encima del enrutamiento, los contratos y los mercados. El problema de la certificación reduce la prima al canal RPKI. El registro podría ser generalmente frágil pero mantener RPKI bien aislado, en cuyo caso el riesgo de origen de ruta sería menor que el riesgo institucional general. O el registro podría ser generalmente estable pero usar RPKI de manera discrecional, en cuyo caso el riesgo de origen de ruta sería mayor de lo que sugiere la gobernanza general. El punto es evaluar el cortafuegos específico del servicio.

Ese cortafuegos tiene varias partes. Primero, RPKI debe depender de la autoridad verificada de recursos y cuentas, no del favor institucional general. Segundo, los cambios que afectan a las rutas vivas deben clasificarse y tener plazos. Tercero, las acciones severas como la revocación deben requerir motivos definidos y revisión. Cuarto, las disputas deben preservar la seguridad operativa existente cuando sea seguro. Quinto, la realidad de las transferencias y el arrendamiento debe manejarse mediante una autorización clara en lugar de la negación por ambigüedad. Sexto, la administración judicial o la falla de la junta deben activar un modo de continuidad para los servicios de certificación. Séptimo, los repositorios de publicación y las claves deben tener una auditoría independiente y una respuesta a incidentes.

Tales salvaguardas no debilitarían las funciones de base de datos, DNS inverso o RDAP. Las fortalecerían al hacer más claro el límite de cada función. Una corrección de base de datos identificaría al verdadero titular. Una delegación de DNS inverso seguiría las reglas de asignación registradas. RDAP expondría los hechos públicos apropiados. RPKI expresaría la autoridad de origen de ruta bajo un mandato de seguridad neutral al servicio. El registro conservaría el poder de ejecución contra el fraude y la autoridad falsa, pero no usaría la capa de seguridad para ganar luchas institucionales no relacionadas.

La crisis de AFRINIC muestra por qué esta precisión importa. Si todas las funciones del registro se agrupan en una sola autoridad discrecional, entonces una disputa sobre una función contamina a todas. Un miembro que se enfrenta a una revisión de recursos teme las consecuencias en RPKI. Un comprador que se enfrenta a un retraso en la transferencia teme el retraso en el DNS inverso y la certificación. Un tribunal que considera una restricción corporativa puede afectar inadvertidamente a los servicios operativos. Un administrador judicial que preserva el statu quo puede congelar las actualizaciones de seguridad necesarias. Una disputa electoral de la junta puede hacer que las contrapartes cuestionen la autoridad de la cuenta. La agrupación propaga el riesgo.

Desagrupar no significa desmantelar el registro. Significa reconocer que diferentes funciones requieren diferentes salvaguardas. RPKI merece las salvaguardas de continuidad y neutralidad más fuertes porque es el puente más directo entre la legitimidad del registro y el comportamiento de enrutamiento. El caso de AFRINIC debería empujar al sistema de registros regionales a hacer ese puente más seguro antes de que una disputa de certificados se convierta en una interrupción del servicio.

El mercado que pone precio a la duda de los certificados

Los mercados ponen precio a la incertidumbre mucho antes de que los tribunales la resuelvan. Ese es el hecho económico central del riesgo de gobernanza de RPKI. Un prefijo no necesita volverse inaccesible para que su valor caiga. Solo necesita llevar una duda creíble sobre si la autoridad de origen de ruta puede mantenerse a lo largo de una transferencia, arrendamiento, disputa, migración o estrés institucional. El descuento puede ser invisible en las cotizaciones públicas, pero aparece en los términos privados: menor precio de compra, plazos de depósito más largos, indemnizaciones más amplias, declaraciones más fuertes, cierre retrasado, exclusiones de clientes, honorarios legales más altos, monitoreo adicional o una preferencia por recursos de un entorno de registro menos problemático.

La escasez de IPv4 hace que esos descuentos sean significativos. Los análisis públicos en la disputa de AFRINIC han citado precios de IPv4 que pasaron de un solo dígito por dirección en años anteriores a niveles mucho más altos durante la era de escasez, y un /16 puede representar millones de dólares de valor de mercado. Cuando los valores son tan altos, un pequeño cambio en la certeza percibida importa. Un comprador que pagaría el precio completo por un bloque limpio puede reducir la oferta si el control de RPKI depende de un titular con problemas de registro no resueltos. Un arrendador puede cobrar más si debe asumir la responsabilidad del mantenimiento continuo del ROA bajo una política incierta. Un cliente puede pedir un prefijo alternativo si el proveedor no puede garantizar la validación de origen. Un prestamista puede considerar los ingresos respaldados por direcciones como menos financiables.

El mecanismo de fijación de precios es similar al seguro de título en bienes raíces o al riesgo de liquidación en valores, pero el activo no es un terreno ordinario o una acción. Las direcciones IP son identificadores de red únicos administrados a través de contratos y políticas. Los registros se resisten a las analogías simples de propiedad, y la resistencia tiene una base técnica: la unicidad, la coordinación y la responsabilidad de enrutamiento importan. Sin embargo, no-propiedad no significa no-valor. Muchos derechos económicamente importantes no son propiedad en dominio pleno. Los arrendamientos, licencias, concesiones, derechos de espectro, permisos de operación y derechos contractuales pueden todos respaldar la inversión mientras permanecen condicionales. El mercado pone precio a las condiciones.

RPKI añade una de esas condiciones. La posición económica del titular es más fuerte si puede demostrar que el origen autorizado seguirá siendo válido bajo cambios operativos ordinarios. Es más débil si el registro puede negarse, retrasar o revocar la publicación bajo estándares ambiguos. La condición importa más cuando el titular y el operador difieren. El arrendamiento hace esto visible. Si un arrendador no puede garantizar los ROAs para la red del arrendatario, el arrendamiento es menos útil. Si el arrendatario no puede confiar en cambios oportunos, debe reservar espacio de respaldo o negociar flexibilidad con el cliente. Si el registro cuestiona posteriormente el acuerdo, el arrendatario puede ser inocente pero aún estar expuesto. El precio del arrendamiento debe reflejar ese riesgo.

Los mercados de transferencia se enfrentan a un problema relacionado. Una transferencia no está económicamente completa cuando el dinero cambia de manos. Está completa cuando el registro reconocido, la autoridad de enrutamiento, el DNS inverso, los contactos de abuso y el material de origen de ruta se alinean con la operación prevista del comprador. Si el cambio de RPKI se retrasa o se impugna, el comprador controla un recurso que no es totalmente desplegable. Los acuerdos de depósito en garantía deberían, por lo tanto, tratar la entrega del ROA como parte de la liquidación. Esa es una respuesta del mercado a la confianza en el registro. Cuanto más incierto sea el registro, más detalladas serán las condiciones de liquidación.

Los negocios de nube y alojamiento trasladan el riesgo a los contratos con los clientes. Un proveedor puede tener prefijos administrados por AFRINIC, arrendarlos o depender de proveedores que lo hagan. Los clientes rara vez leen la política del registro regional, pero notan las interrupciones y el filtrado de rutas. Si un cliente exige un enrutamiento seguro, el proveedor debe demostrar no solo que existen ROAs, sino que el proveedor puede mantenerlos. Si los recursos del proveedor están bajo revisión, si el titular está en disputa, o si el registro tiene un historial de turbulencia institucional, el cliente puede exigir derechos de rescisión o un plan de migración. El problema de gobernanza del registro se ha convertido en un problema comercial de ventas.

Los operadores pequeños pueden sufrir más porque los costos fijos no se reducen con la escala. Una gran nube o un operador de telecomunicaciones puede emplear abogados, especialistas en registros, ingenieros de enrutamiento y personal de cumplimiento. Puede diversificar las fuentes de direcciones, mantener inventario adicional, mantener múltiples sistemas autónomos y negociar contratos sofisticados. Un pequeño ISP o empresa de alojamiento puede tener uno o dos bloques, una relación de registro y personal limitado. Para él, una sola disputa o retraso de RPKI puede consumir la atención de la gerencia y amenazar a los clientes. La promesa de RPKI debería ser ayudar a estos operadores a reducir el riesgo de secuestro de rutas, no añadir otra dependencia institucional que no puedan gestionar.

La dependencia de los miembros de AFRINIC es, por lo tanto, más amplia que el servicio de certificación. Los miembros dependen de los registros de asignación, WHOIS, RDAP, DNS inverso, IRR, RPKI, estado de facturación, reconocimiento de transferencias y acceso a la cuenta. Estos servicios no son sustitutos; se refuerzan mutuamente. Un registro de base de datos limpio respalda la autoridad de RPKI. RPKI fortalece la credibilidad del enrutamiento. El DNS inverso respalda el correo y los diagnósticos. WHOIS y RDAP respaldan la responsabilidad pública y la diligencia debida. El reconocimiento de transferencias respalda la liquidez. Si el riesgo de gobernanza afecta a un servicio, las contrapartes se preocupan por los demás. El paquete recibe un descuento de registro.

El descuento también puede autorreforzarse. Si los participantes del mercado consideran que los recursos administrados por AFRINIC son más arriesgados, pueden preferir otras regiones cuando sea posible, exigir más a los titulares africanos o canalizar la actividad comercial a través de estructuras percibidas como más seguras. Eso reduce la liquidez y puede perjudicar los argumentos de desarrollo regional utilizados para justificar un fuerte control del registro. Un registro que quiere apoyar a su región debería, por lo tanto, preocuparse por las primas de riesgo. Cuanto más barata haga la confianza, más valiosos se vuelven los recursos de sus miembros y más fácil es para las redes africanas obtener capital, clientes y socios.

El mercado no siempre es virtuoso. Los actores comerciales pueden exagerar el riesgo del registro para buscar precios más bajos, resistirse a una revisión legítima o defender un arbitraje rentable. AFRINIC y sus partidarios tienen razón al recordar que los mercados de direcciones crean incentivos para el abuso, la especulación y la manipulación de registros. Pero la existencia de compradores oportunistas no elimina la necesidad de servicios de confianza predecibles. Los hace más importantes. Una gobernanza clara de RPKI ayuda a distinguir la dependencia operativa legítima de la presión de mala fe. La discreción opaca ayuda a los actores más fuertes porque pueden permitirse litigarla.

La conclusión económica es simple. La calidad de la gobernanza de RPKI ahora es parte de la calidad de las direcciones. Un prefijo con autoridad de origen de ruta estable vale más que el mismo prefijo con autoridad incierta. La crisis de AFRINIC lo hace explícito, pero el principio se aplica en todas partes. A medida que se extienda la validación de origen de ruta, los mercados pondrán precio no solo a la cantidad y reputación de las direcciones, sino a la confianza institucional en la cadena de certificados.

Un cortafuegos de RPKI creíble

Un cortafuegos de RPKI creíble no es un cortafuegos en el sentido de un dispositivo de red. Es un límite institucional que evita que la certificación de origen de ruta se convierta en un daño colateral en luchas sobre la gobernanza, las tarifas, los litigios, las elecciones, la política de transferencias o la ideología comercial. Acepta que un registro debe ejecutar RPKI, verificar la autoridad y actuar contra el fraude. Rechaza la idea de que un registro pueda usar la incertidumbre de la certificación como palanca general sobre los recursos escasos de direcciones. En un mundo post-agotamiento, ese límite es tan importante como el protocolo criptográfico.

El primer elemento es la continuidad del servicio. Los ROAs válidos existentes para recursos vivos deben presumirse que permanecen en vigor durante el estrés institucional a menos que haya una razón técnica, legal o de autoridad específica para cambiarlos. La administración judicial, la ausencia de la junta, los litigios o la controversia pública no deberían por sí mismos interrumpir la publicación del origen de ruta. Si un miembro está en disputa, el valor predeterminado debería ser preservar el último estado seguro verificado mientras se clasifica la disputa. Eso protege a los clientes aguas abajo y reduce los incentivos para litigios de emergencia.

El segundo elemento es la granularidad de la autoridad. Una cuenta de registro no debería ser una única clave indiferenciada para todo el poder. La autoridad de voto, la autoridad de facturación, la autoridad de representante legal, la autoridad de gestión de recursos, la autoridad de RPKI y la autoridad de contacto de abuso deberían ser separables. Las controversias de AFRINIC en 2025 en torno a las credenciales de los miembros y los poderes notariales muestran por qué. Una persona puede tener derecho a votar pero no a cambiar los ROAs. Un abogado puede tener derecho a recibir notificaciones pero no a autorizar una ruta. Un ingeniero de red puede tener derecho a gestionar los ROAs pero no a comprometer a la empresa en una elección de la junta. La granularidad reduce la posibilidad de que la captura de la gobernanza se convierta en captura del enrutamiento.

El tercer elemento es una escalera de remedios. No todos los problemas justifican la interrupción de la certificación. Un contacto obsoleto debería desencadenar requisitos de notificación y actualización. Un problema de facturación puede desencadenar consecuencias contractuales, pero no un daño inmediato al origen de ruta a menos que las reglas lo digan claramente y se apliquen salvaguardas. Una sospecha de compromiso de cuenta puede requerir un bloqueo de emergencia y verificación del miembro. Una transferencia en disputa puede requerir una retención temporal de nuevos ROAs mientras se preserva el servicio existente cuando sea seguro. Una autoridad falsa probada puede requerir revocación. Cada categoría debe definirse antes de la crisis, con límites de tiempo y vías de escalamiento.

El cuarto elemento es la transparencia sin temeridad. Las acciones de RPKI que afectan a los recursos vivos deben registrarse de manera que permitan la auditoría. Los miembros deben recibir un aviso claro de los cambios, las razones y las vías de apelación. Las partes confiadas no necesitan archivos de litigios privados, pero la comunidad puede beneficiarse de informes agregados sobre revocaciones, bloqueos de emergencia, incidentes de publicación, recursos impugnados y disponibilidad del servicio. Un registro que publica solo estadísticas de adopción pero no incidentes de gobernanza está ocultando la parte de RPKI que los mercados necesitan para poner precio.

El quinto elemento es el realismo sobre transferencias y arrendamiento. AFRINIC y otros registros no necesitan respaldar cada afirmación del mercado sobre la propiedad de IPv4. Sí necesitan reconocer que la delegación operativa existe. Un titular puede autorizar legalmente a otra red a originar un prefijo por razones de alojamiento, tránsito, nube, cliente, arrendamiento o servicio gestionado. RPKI debería capturar la autoridad operativa de manera limpia, dejando las disputas comerciales a los contratos y los procesos de políticas. Si el registro quiere restringir algunas formas de delegación, debe hacerlo a través de una política explícita sujeta a escrutinio, no a través de la negativa opaca a apoyar la autorización de origen de ruta.

El sexto elemento es la sucesión de emergencia. Si un registro entra en administración judicial, pierde una junta, sufre un compromiso del sistema o se enfrenta a una posible desautorización, la continuidad de RPKI debe tener un plan escrito. El plan debe decir cómo se protegen las claves, cómo se mantienen en línea los repositorios, cómo se preserva el acceso de los miembros, cómo se aprueban los cambios urgentes, cómo se trata la validez de los certificados, cómo se comunican los cambios de anclaje de confianza si alguna vez son necesarios, y cómo otro registro o servicio neutral podría ayudar sin tomar el control de las políticas. La administración judicial de AFRINIC muestra que tal plan no es especulativo.

El séptimo elemento es la revisión independiente para acciones severas. Un registro no debería ser el único juez, fiscal y verdugo cuando una decisión que afecta a la certificación pudiera perjudicar rutas vivas y recursos valiosos. La revisión independiente no necesita ser lenta en emergencias. Puede utilizar paneles acelerados, defensores técnicos, procedimientos aprobados por el tribunal o revisión posterior a la acción cuando se necesita una acción inmediata. El principio es que una interrupción severa de RPKI debe ser responsable ante un organismo o proceso que no sea idéntico a la posición del personal o de la junta en la disputa subyacente.

El octavo elemento es la simetría de responsabilidad, al menos en la divulgación si no siempre en los daños. Los registros a menudo operan bajo responsabilidad limitada, y hay razones para limitar la exposición de los organismos de coordinación. Pero si un registro puede tomar acciones que afectan a recursos de alto valor y a la continuidad de los clientes, los miembros necesitan saber qué recurso existe para la interrupción errónea de la certificación. La respuesta no puede ser un eslogan. Puede implicar créditos de servicio, corrección acelerada, revisión independiente, seguro, política de reserva o límites legales. Sea cual sea el diseño, la asignación del riesgo debe ser explícita.

La recuperación de AFRINIC sería más creíble si tratara RPKI de esta manera. Una nueva junta, un presupuesto o una estrategia son útiles, pero la cuestión de RPKI es más concreta: ¿puede cada miembro, incluido un miembro no querido o en disputa, saber exactamente qué servicios de certificación continuarán, qué acciones pueden afectarlos, quién aprueba esas acciones, con qué rapidez se realiza la revisión y cómo se protege la continuidad aguas abajo? Si la respuesta es sí, RPKI se convierte en una tecnología estabilizadora. Si la respuesta es no, sigue siendo un riesgo de gobernanza disfrazado de adopción de seguridad.

Tal cortafuegos no le quitaría autoridad a AFRINIC. Haría la autoridad más legítima. Daría al personal instrucciones más claras bajo estrés, a los miembros expectativas más claras, a los tribunales categorías más claras y a las partes confiadas mejores razones para confiar en la cadena de certificados. También protegería al registro de las afirmaciones de que cada acción de ejecución es una amenaza para el enrutamiento vivo. La precisión es una forma de defensa institucional.

El libro mayor estrecho y la ruta confiable

El riesgo de gobernanza de RPKI de AFRINIC comienza con una pequeña declaración técnica y termina con una gran conclusión institucional. La declaración técnica dice que un prefijo puede ser originado por un sistema autónomo particular. La conclusión institucional es que el reconocimiento, los registros, las cuentas, las claves, los sistemas de publicación y la gobernanza del registro son lo suficientemente confiables como para que el resto de internet actúe en consecuencia. Si esa conclusión es débil, la declaración de origen de ruta puede seguir siendo criptográficamente válida, pero el mercado la tratará con cautela.

El camino a seguir no es rechazar RPKI, ni pretender que los registros pueden evitar las difíciles cuestiones de ejecución. Un registro que no puede corregir registros falsos, prevenir la publicación comprometida o actuar según órdenes legales no está protegiendo internet. Pero un registro que puede convertir los servicios de certificación en palanca discrecional sobre recursos escasos tampoco está protegiendo internet. Está importando riesgo institucional a la capa de enrutamiento. El diseño correcto es un libro mayor estrecho con un servicio de confianza protegido: fuerte contra el fraude, preciso en la autoridad, neutral hacia el uso comercial ordinario, continuo durante el estrés de la gobernanza y responsable cuando es necesaria una acción severa.

Para AFRINIC, eso significa que la recuperación debe medirse por la fiabilidad de las funciones, no meramente por la existencia de una junta. ¿Pueden los miembros mantener los ROAs a través de cambios normales de red? ¿Pueden contenerse los casos en disputa sin contaminar recursos no relacionados? ¿Pueden las transferencias y los arrendamientos obtener una autorización operativa clara sin una revisión ideológica oculta? ¿Puede la administración judicial o la supervisión judicial preservar los servicios técnicos sin congelar las actualizaciones necesarias? ¿Pueden las revocaciones severas ser explicadas, revisadas y limitadas? ¿Puede el registro demostrar que RPKI es un servicio de seguridad, no un arma política?

El mercado en general también necesitará adaptarse. Los compradores deberían tratar la entrega de RPKI como parte de la liquidación de IPv4. Los arrendadores deberían especificar el mantenimiento del ROA y los procedimientos de cambio. Los clientes deberían preguntar no solo si un proveedor tiene ROAs, sino quién los controla y qué sucede en caso de disputa. Los prestamistas y las aseguradoras deberían evaluar la exposición a la gobernanza del registro como parte de los ingresos respaldados por direcciones. Los operadores deberían monitorear los estados de validación y mantener planes de contingencia. Estos pasos no reemplazan la reforma del registro, pero reflejan la realidad de que RPKI ha convertido la autoridad de origen de ruta en un factor económico.

La crisis de AFRINIC no es, por lo tanto, una curiosidad local sobre los problemas de un registro regional. Es una advertencia sobre lo que sucede cuando una arquitectura de seguridad depende de una institución cuya legitimidad, registros, tribunales, administradores judiciales, elecciones y límites comerciales están bajo tensión. Cuanto más exitoso sea RPKI, más importante se vuelve esa advertencia. Una ruta puede ser filtrada por máquinas, pero la autoridad detrás de la ruta sigue siendo gobernada por personas, contratos, empresas y tribunales.

La prueba final es simple. Un titular de recursos debería poder adoptar RPKI porque reduce el riesgo de enrutamiento, no porque acepta una nueva forma de dependencia del registro. Un cliente debería poder confiar en una ruta válida porque la cadena de certificados refleja una autoridad estrecha, legal y precisa, no porque tenga fe en la mitología institucional. Un registro debería poder hacer cumplir reglas reales sin amenazar la publicación de seguridad en vivo. Un tribunal debería poder supervisar un registro en dificultades sin convertirse en el operador oculto de la confianza en el origen de ruta.

AFRINIC muestra que la certificación de origen de ruta no es meramente una credencial técnica. Es una afirmación institucional. En la era de la escasez de IPv4, esa afirmación conlleva riesgo de precio, continuidad y gobernanza. El registro que quiere que los enrutadores confíen en sus certificados debe primero probar que su propia autoridad está lo suficientemente limitada como para ser confiable.