Resumen
- El piloto debe preregistrar sus afirmaciones causales, medidas, reglas de cohorte, exclusiones, controles emparejados, pisos de seguridad, umbrales de beneficio y plan de análisis antes del reclutamiento o la migración en vivo. Las historias posteriores no pueden convertir un resultado adverso en éxito.
- El fracaso tiene tres significados distintos: una violación de seguridad inmediata que detiene el trabajo en vivo, no lograr beneficios materiales frente al control después de un período definido, y fracaso institucional cuando el coordinador común o el mercado de proveedores recrea un poder monopólico sin control.
- La reversión es un resultado experimental central, no una improvisación de emergencia. Cada movimiento necesita una línea base verificada, una ruta de devolución serializada, restricciones preservadas, conciliación de servicios dependientes y una fecha límite para restaurar un proveedor autorizado sin crear estado duplicado.
- El diseño de la muestra debe exponer la proposición a evidencia difícil. Redes pequeñas, recursos heredados, carteras transferidas, titulares del sector público, usuarios de RPKI alojados y delegados, y cuentas restringidas legalmente deben estar en los estratos planificados; los voluntarios fáciles no pueden representar el sistema de números.
- Un evaluador independiente debe controlar la entrada aleatoria o retrasada, auditar los datos fuente, publicar exclusiones y retiros, aplicar las reglas de parada y emitir el hallazgo de 2036. Los proveedores, titulares, financiadores y defensores pueden responder pero no pueden editar los resultados.
- Pasar una etapa no otorga presunción de autoridad permanente. Cualquier mandato de servicio posterior al piloto requiere una decisión institucional separada y transparente por parte de organismos competentes, con nuevo debido proceso, revisión de conflictos y autorización por tiempo limitado.
- Number Resource Society puede defender la prueba, representar a miembros autorizados, observar evidencia pública, investigar resultados y aceptar un hallazgo negativo. No puede ejecutar el servicio de registro, calificar proveedores, seleccionar al evaluador, certificar resultados, mantener registros, ejecutar la reversión o convertir la participación en un mandato operativo futuro.
El contrafactual comienza con un objeto preciso de elección
"Elige tu registro" es demasiado impreciso para probar. Puede describir al menos cuatro cambios diferentes: un titular que mueve su cuenta de servicio, un recurso que se mueve entre registros regionales, una transferencia de un titular a otro, o un operador que cambia cómo anuncia una ruta. Esas acciones tienen diferentes efectos legales y técnicos. Combinarlos haría que cada resultado fuera ininterpretable.
La elección propuesta se refiere al patrocinio del servicio. Un titular reconocido designa a un proveedor calificado para mantener su relación de registro actual bajo una capa de coordinación compartida. El proveedor recibe autoridad definida de manera estrecha para autenticar instrucciones, mantener evidencia, enviar cambios ordenados, servir o arreglar datos de registro públicos, apoyar transferencias de recursos y coordinar servicios dependientes. Un identificador de proveedor en el registro común muestra quién tiene actualmente ese mandato de servicio.
El prefijo o número de sistema autónomo no cambia simplemente porque el proveedor cambie. El titular no cambia. El recurso no se asigna dos veces. Las disputas existentes, restricciones de sanciones, restricciones judiciales, retenciones de transferencia y deberes de evidencia viajan con el registro. El enrutamiento sigue siendo una decisión tomada por los operadores de red y sus contrapartes. Un proveedor no puede crear accesibilidad editando un registro administrativo, y no puede retirar la accesibilidad simplemente porque una cuenta se va.
Esta separación sigue el núcleo descrito por RFC 7020: los números de Internet requieren unicidad global y registro preciso, mientras que la operación de enrutamiento está fuera del control directo del registro. El contrafactual preserva ese núcleo. Cuestiona la suposición de que cada servicio orientado al titular debe ser suministrado indefinidamente por una corporación asignada geográficamente.
Sin esta definición, un piloto podría reclamar éxito moviendo detalles de contacto de bajo riesgo mientras deja cautiva cada dependencia consecuente. O podría fracasar teatralmente al intentar duplicar la autoridad de nivel superior. La unidad de elección debe ser lo suficientemente amplia para alterar el poder de negociación y lo suficientemente estrecha para preservar un solo estado actual.
La línea base es un paquete, no simplemente una tarifa anual
El punto de comparación actual no es elección cero. Los operadores pueden seleccionar consultores, corredores, servicios de seguridad de ruta alojados, upstreams, plataformas en la nube y asesores legales. A veces pueden transferir recursos a través de regiones o mover una presencia corporativa. Los Registros Regionales de Internet difieren en tarifas, estructuras de membresía, servicios públicos e implementación. Estas diferencias ofrecen una variación útil.
Sin embargo, el titular ordinario generalmente no puede nombrar una institución calificada diferente para mantener el mismo recurso bajo la misma posición global mientras permanece sin cambios en otros aspectos. La salida a menudo requiere una transferencia, reestructuración corporativa, elegibilidad geográfica, un cambio en el estado del recurso o la cooperación de la institución que se abandona. El titular actual, por lo tanto, suministra un paquete: registro autoritativo, administración de cuentas, implementación de políticas, manejo de disputas, datos públicos, dependencias técnicas, participación en membresía y continuidad institucional.
Una línea base justa debe valorar y evaluar todo el paquete. La factura anual es solo un componente. Un operador también soporta tiempo del personal, fricción de autenticación, reconstrucción de evidencia, correcciones retrasadas, costo de viaje o participación, incertidumbre durante disputas, trabajo de integración y la pérdida esperada por fallo institucional. Por el contrario, el registro suministra beneficios que pueden no aparecer en una factura: historial mantenido, personal experimentado, inversión en seguridad, coordinación pública, capacitación, apoyo político y asistencia mutua.
El costo contrafactual es igualmente amplio. Un proveedor más barato que externaliza casos difíciles a un coordinador común puede no ser más barato en términos sociales. Un proveedor con incorporación rápida pero evidencia histórica débil puede crear costos más adelante. Una capa común financiada a través de gravámenes ocultos puede hacer que los precios minoristas parezcan artificialmente bajos. El estudio debe, por lo tanto, comparar el costo total ajustado por calidad y asignar los costos compartidos de manera abierta.
Cuatro afirmaciones deben ingresar al protocolo antes de que un participante entre
El piloto debe registrarse como un protocolo de evaluación, no anunciarse como un movimiento. Antes del reclutamiento, los patrocinadores deben depositar un documento público versionado que contenga las preguntas principales, definiciones exactas de resultados, unidad de análisis, estratos de cohorte, construcción de control, ventanas de observación, efectos mínimos detectables, reglas de datos faltantes, límites de parada, plazos de reversión y la autoridad responsable de cada decisión.
Las enmiendas pueden ser necesarias después de un descubrimiento genuino de seguridad, pero cada enmienda debe preservar la versión anterior, identificar quién solicitó el cambio y declarar si el cambio se realizó antes o después de que los datos afectados se volvieran visibles.
El protocolo debe distinguir los resultados confirmatorios del aprendizaje exploratorio. El costo ajustado por calidad, la confiabilidad de la corrección, el alcance de la discreción del proveedor y la continuidad después del fracaso son los cuatro dominios confirmatorios. Las preferencias de interfaz, las nuevas combinaciones de servicios y las anécdotas de los participantes pueden generar preguntas posteriores, pero no pueden rescatar un resultado primario fallido. Si se recogen veinte medidas y dos se mueven favorablemente por casualidad, los patrocinadores no deben presentar esas dos como la razón por la que existió el piloto.
Las hipótesis también necesitan una dirección y una fecha límite. Una afirmación de que los costos eventualmente caerán, la revisión eventualmente mejorará o la sustitución eventualmente funcionará no puede ser falsificada dentro de un ensayo de diez años. Cada fase debe declarar el efecto esperado para su fecha de cierre y el intervalo de confianza que se consideraría compatible con ninguna mejora útil. Un resultado puede ser seguro pero ineficaz; la seguridad es una condición para continuar el experimento, no una prueba de beneficio.
Para cada titular, la carga total anual del registro puede representarse como cinco componentes: costo común central obligatorio, precio del servicio del proveedor, costo interno de cumplimiento, pérdida esperada por error y pérdida esperada por continuidad. El primer componente financia funciones que deben permanecer comunes, como las comprobaciones de unicidad ordenadas y el descubrimiento autorizado del proveedor. El segundo cubre el servicio del proveedor elegido. El tercero captura la carga del propio personal y evidencia del titular.
Los últimos dos convierten fallas de baja frecuencia en costo esperado utilizando incidencia observada y estimaciones de pérdida acotada.
Bajo el monopolio regional, el titular paga un precio empaquetado y tiene capacidad limitada para separar el mal servicio del costo común inevitable. Bajo la elección, el cargo común central debe ser idéntico para condiciones de recurso equivalentes, mientras que el precio del proveedor y los términos del servicio pueden variar. El costo interno de cumplimiento podría caer si los proveedores compiten en interfaces utilizables y soporte, o aumentar si los estándares comunes son débiles. La pérdida por error podría caer a través de la especialización y la salida, o aumentar a través de la subinversión.
La pérdida por continuidad debería caer si la sustitución del proveedor funciona, pero podría aumentar si el coordinador compartido se convierte en un nuevo punto único de falla.
El modelo, por lo tanto, no predice un precio universal. Predice descomposición. Los costos comunes obligatorios se vuelven visibles; los servicios opcionales se vuelven disputables; los costos de riesgo se vuelven atribuibles. Un régimen exitoso puede dejar a algunos operadores pagando más porque seleccionan verificación mejorada, soporte multilingüe, custodia gestionada de seguridad de enrutamiento o asistencia en transferencias complejas. La pregunta relevante es si un operador puede seleccionar un servicio proporcionado y si el núcleo común deja de cobrar a cada titular por una preferencia institucional.
Cuatro variables deben estimarse por separado: precio, calidad, alcance y resiliencia. Colapsarlas en una sola puntuación de satisfacción ocultaría las compensaciones centrales. La elección de registro se apoya solo si el precio o el servicio mejora sin trasladar un riesgo inaceptable a la unicidad, precisión, responsabilidad pública o recuperación de crisis.
Afirmación preregistrada uno: el costo no central debe caer
La primera predicción es deliberadamente modesta. La elección no debe eliminar el costo de mantener registros numéricos confiables. Debe reducir el costo de funciones que no requieren un solo proveedor: soporte de cuenta rutinario, productos de datos opcionales, informes personalizados, asistencia en transferencias, autenticación gestionada, capacitación, interfaces de certificación y otros servicios orientados al titular.
El piloto debe definir una canasta de servicios estándar antes de que los proveedores presenten precios. La canasta incluiría una cuenta de titular normal, un número fijo de contactos autorizados, actualizaciones rutinarias, servicio de registro público, una asignación de asistencia en transferencias, soporte de incidentes ordinario y exportación al salir. Los litigios complejos, la reconstrucción histórica inusual y la custodia criptográfica opcional se valorarían por separado bajo categorías publicadas. Cada proveedor divulgaría el cargo común central, su cargo de servicio, costos de paso y cargos contingentes.
La medida de tarifa principal debe ser el costo anual mediano ajustado por calidad por titular y por conjunto de recursos gestionados, no el precio anunciado más bajo. El ajuste debe tener en cuenta el tiempo de respuesta, el rendimiento de corrección, los controles de seguridad, la preparación para la salida y la complejidad de la cartera del titular. Una segunda medida debe rastrear las horas internas del operador.
Una tercera debe examinar la distribución: las redes pequeñas, las redes de interés público y los titulares con registros antiguos o en disputa pueden experimentar efectos diferentes de los grandes operadores con personal profesional.
La predicción se debilitaría si los precios anunciados caen mientras las horas de cumplimiento interno aumentan en una cantidad igual, si la capa común absorbe un trabajo no valorado creciente, o si los proveedores evitan a los titulares difíciles. Fallaría si el costo total comparable no cae después de tres años, la calidad no mejora y no aparece una diferenciación de servicio significativa. Un ahorro del diez por ciento en una factura estrecha acompañado de una recuperación más débil no es éxito.
Afirmación preregistrada dos: el poder político debe volverse más estrecho
Las instituciones regionales a menudo hacen reglas para la asignación, transferencia, membresía, tarifas, datos de registro, servicios de seguridad de enrutamiento y conducta de cuentas. Algunas reglas de coordinación deben permanecer comunes. Otras reflejan el hecho de que la misma institución es creadora de reglas, proveedora de servicios, custodia de registros y guardiana. Cuando la salida es difícil, una preferencia administrativa puede convertirse en una condición para la continuidad operativa continua.
La elección debería forzar una clasificación. Una regla pertenece a la capa común solo si un comportamiento incompatible del proveedor amenazaría la unicidad, el descubrimiento autorizado, la evidencia mínima, la restricción legal, la interoperabilidad de seguridad o la sucesión ordenada. Las reglas sobre paquetes de soporte, herramientas opcionales, formatos de reuniones, servicios de consultoría, capacitación, comunicación con el cliente y muchas características de la cuenta pueden ser elecciones a nivel de proveedor.
La política que afecta los derechos del titular debe tener una base legal declarada, análisis de las partes afectadas, ruta de revisión y fecha de vencimiento o reconsideración.
La medida de alcance político contaría las obligaciones obligatorias por categoría. El número de páginas o controles no puede ser la medida principal porque las reglas concisas aún pueden ser amplias. Mejores indicadores incluyen cuántas decisiones del proveedor pueden suspender o perjudicar materialmente el servicio, cuántas obligaciones carecen de una ruta de revisión externa, con qué frecuencia un proveedor se basa en una cláusula de conducta abierta, y qué proporción de decisiones impugnadas se basan en reglas de seguridad comunes en lugar de preferencia local.
La predicción es que el servicio portátil reduce la superficie discrecional a nivel de proveedor. Sería contradicha si el coordinador común acumula cada regla regional anterior, si los proveedores forman un cártel en torno a términos idénticos, o si los titulares pueden moverse solo después de satisfacer las amplias demandas políticas del proveedor perdedor. La portabilidad que simplemente reubica el poder monopólico hacia arriba no ha estrechado el poder.
Afirmación preregistrada tres: la corrección debe volverse más rápida y más creíble
Los errores de registro van desde un contacto mal escrito hasta una identidad de titular disputada o un cambio no autorizado. La velocidad no puede perseguirse sin precisión. Un proveedor que acepta automáticamente a cada reclamante mostrará tiempos de respuesta impresionantes y registros peligrosos. La medida útil separa el acuse de recibo, la recopilación de evidencia, la protección provisional, la decisión razonada y la corrección final.
La elección cambia los incentivos en dos puntos. Primero, los proveedores compiten en precisión y soporte ordinarios. Segundo, un titular que enfrenta fallas repetidas puede escalar a una revisión independiente o migrar después de que el estado en disputa se haya preservado de manera segura. La amenaza de salida debería fomentar razones más claras, evidencia portátil y transferencia oportuna. No debería permitir que un reclamante busque entre proveedores hasta que uno acepte una instrucción falsa.
Cada asunto impugnado necesita, por lo tanto, un identificador de caso en la capa común, un estado protegido actual y un historial de decisiones visible. Mover la cuenta de servicio no borra el caso. El nuevo proveedor recibe la misma restricción y obligaciones de evidencia. La revisión independiente decide las disputas que exceden la corrección rutinaria. Los proveedores se miden en tiempo, integridad y cumplimiento, no en si favorecen al cliente.
Los resultados principales son el tiempo mediano para corregir errores rutinarios verificados, el tiempo para imponer una retención protectora después de un compromiso creíble, la proporción de decisiones con razones adecuadas, la tasa de reversión, la tasa de errores repetidos y el tiempo para ejecutar un remedio. Una alta tasa de reversión puede mostrar malas decisiones iniciales; una tasa cercana a cero puede mostrar una revisión inaccesible. Ambos requieren interpretación. La predicción falla si la portabilidad aumenta los resultados inconsistentes, la pérdida de evidencia o la búsqueda estratégica de proveedores.
Afirmación preregistrada cuatro: la crisis institucional debe volverse más pequeña
El caso más fuerte para la elección de registro no es una tarifa anual ligeramente más baja. Es la posibilidad de que la falla de una corporación ya no amenace a cada titular asignado a su territorio. La insolvencia, la parálisis de gobernanza, las sanciones, una restricción judicial destructiva, la corrupción de datos, el compromiso de claves o una interrupción prolongada del servicio podrían manejarse como falla del proveedor en lugar de emergencia constitucional regional.
Ese beneficio existe solo si los registros y la autoridad son separables antes de la crisis. Los proveedores deben mantener exportaciones estandarizadas, historial de cambios atestiguado de forma independiente, evidencia depositada o protegida de otro modo, estados conocidos de servicios dependientes y sustitutos precalificados. La financiación para la operación de emergencia debe estar disponible fuera del control ordinario del proveedor fallido. La activación debe preservar las restricciones y las reclamaciones en disputa en lugar de copiar solo cuentas limpias.
El piloto debe escenificar fallas. Un proveedor se vuelve inalcanzable. Otro pierde autoridad después de fallas de control repetidas. Un tercero sufre corrupción selectiva de registros en lugar de interrupción total. Un cuarto permanece técnicamente disponible mientras sus directores no pueden actuar legalmente.
En cada caso, el evaluador mide el tiempo para establecer un último estado confiable, el tiempo para nombrar un servicio temporal, el porcentaje de registros reconciliados sin reconstrucción del titular, la continuidad de los datos públicos, la continuidad del DNS inverso, los efectos en la seguridad de enrutamiento y el tiempo hasta que los titulares puedan ejercer nuevamente la elección ordinaria.
El contrafactual predice una pérdida de cola más baja: menos titulares afectados, interrupción más corta y menos dependencia de salvar la entidad legal titular. Falla si cada crisis aún requiere un acuerdo político improvisado, si el coordinador compartido no puede actuar sin el proveedor fallido, o si la operación sustituta crea autoridad duplicada en disputa.
Las analogías establecen posibilidad, no equivalencia
Varios sectores separan un identificador duradero o una relación de cuenta del proveedor de servicios actual. La Política de Transferencia de ICANN asigna deberes a los registradores de dominio ganadores y perdedores y al operador del registro mientras el dominio permanece único. La portabilidad de números telefónicos utiliza coordinación común y plazos para que un suscriptor pueda retener un número después de cambiar de proveedor. El Servicio de Cambio de Cuenta Corriente del Reino Unido coloca al nuevo banco al frente y proporciona redirección y una garantía.
Los arreglos de proveedor de último recurso de energía preservan el servicio cuando un proveedor falla.
Estos ejemplos importan porque rechazan un falso binario entre la asignación permanente de proveedor y la duplicación descontrolada. Muestran elementos de diseño recurrentes: una capa común autoritativa, consentimiento autenticado, motivos de denegación estrechos, relojes de transacción, responsabilidad del proveedor ganador, deberes de continuidad, compensación o remedio, y arreglos para la falla del proveedor.
No son prueba. Los nombres de dominio tienen estructuras contractuales y técnicas diferentes de la administración de direcciones IP y números de sistema autónomo. Los números telefónicos se encuentran dentro de la regulación nacional y los sistemas de operadores. Las cuentas bancarias implican redirección de pagos en lugar de una jerarquía global de seguridad de enrutamiento. El suministro de energía es territorial y fuertemente regulado. Los recursos numéricos combinan unicidad global, historia regional, valor IPv4 transferible escaso, DNS inverso, datos de registro público y RPKI.
El uso adecuado de la analogía es derivar preguntas. ¿Pueden limitarse los motivos de denegación? ¿Puede un proveedor ganador liderar? ¿Puede la coordinación compartida permanecer neutral? ¿Puede el proveedor antiguo fallar sin atrapar al usuario? ¿Puede la compensación adjuntarse a la demora? El piloto luego responde esas preguntas en el entorno de los recursos numéricos.
La cohorte debe poder hacer que la idea se vea mal
La participación voluntaria crea sesgo de selección. Los operadores ya insatisfechos con un titular, los titulares técnicamente sofisticados y los operadores simpatizantes con la defensa de NRS pueden ingresar primero. Los proveedores pueden seleccionar registros limpios. Los titulares pueden mejorar el servicio cuando se observan. Una comparación entre los entusiastas que se mudan y toda la población regional exageraría los efectos.
La evaluación debe utilizar un diseño emparejado por fases. Los titulares elegibles que se ofrecen como voluntarios para la primera cohorte en vivo se emparejarían con titulares similares que no se mudan según el tipo de recurso, tamaño de cartera, historial de transferencias, edad de la organización, región, estado de disputa, uso de seguridad de enrutamiento y capacidad del personal. Cuando la demanda excede la capacidad segura, la sincronización aleatoria puede determinar qué solicitantes emparejados se mudan primero. Esto crea una comparación de entrada retrasada sin negar la participación eventual.
Las observaciones de línea base deben cubrir al menos doce meses. El evaluador debe registrar tarifas, horas internas, volumen de actualizaciones, tiempo de corrección, incidentes de seguridad, quejas, actividad de transferencias, disponibilidad del servicio y confianza del titular antes de cualquier mudanza. Los proveedores deben someterse a una operación en la sombra utilizando registros de prueba sincronizados e instrucciones simuladas antes de tocar la autoridad actual. La exposición en vivo debe expandirse solo después de que pasen las pruebas de conciliación y salida.
Los resultados deben publicarse por cohorte, incluidos los operadores que se retiran, los proveedores que no califican y los casos excluidos por seguridad. El éxito no puede inferirse de la satisfacción agregada entre los sobrevivientes. El denominador es cada conjunto de recursos admitido y cada intento de mudanza.
Los estratos deben fijarse antes de que los proveedores vean a los solicitantes individuales. Como mínimo, el marco de muestreo debe separar las carteras de IPv4, IPv6 y ASN; recursos heredados y emitidos por políticas; transferencias recientes y registros largamente estables; organizaciones pequeñas y grandes; redes del sector público y privadas; historias corporativas simples y multijurisdiccionales; arreglos de RPKI alojados y delegados; y cuentas con restricciones legales documentadas.
Un piloto que elimina silenciosamente los grupos con más probabilidades de revelar problemas de evidencia, identidad o continuidad ha seleccionado una demostración en lugar de una prueba.
La exclusión aún puede ser legítima. Una investigación de fraude activa o un caso de control corporativo no resuelto puede hacer que una mudanza de primera fase sea insegura. El evaluador debe publicar la regla de exclusión, contar cada caso excluido, retener sus características de línea base y probar si las exclusiones se agrupan por proveedor o cohorte. Cuando la inclusión en vivo es insegura, el procesamiento en la sombra puede revelar si un proveedor propuesto reconstruiría el mismo estado protegido sin otorgarle autoridad. Los casos difíciles deben permanecer en la evidencia incluso cuando aún no pueden ingresar al brazo vivo.
El grupo de control no debe ser un retrato estático del modelo regional en 2026. Los controles emparejados necesitan observación contemporánea porque los titulares, las tarifas, la política global y la práctica de seguridad cambiarán durante la década. Las cohortes de entrada retrasada ofrecen un diseño útil: los solicitantes se emparejan, una secuencia aleatoria o administrada de forma independiente determina cuándo ingresan los titulares elegibles, y aquellos que esperan proporcionan un control temporal.
El método no elimina el sesgo de selección, pero hace que el momento de la exposición dependa menos del entusiasmo o la preferencia del proveedor.
La deserción es en sí misma un resultado. Un titular que abandona la migración después de las demandas de evidencia, un proveedor que se retira cuando llegan cuentas difíciles y un participante que regresa a un titular no pueden desaparecer del denominador. El protocolo debe distinguir la preferencia voluntaria, la falla técnica, la barrera legal, la negativa del proveedor, la intervención de seguridad y la reversión dirigida por el evaluador. Cada razón afecta a una reclamación diferente, y colapsarlas en "retiro del participante" ocultaría el resultado institucional.
El evaluador debe ser independiente antes de ver un resultado
La independencia requiere más que nombrar a una persona respetada después de que el diseño esté completo. El evaluador debe ser seleccionado a través de un proceso de conflicto abierto antes del reclutamiento, recibir un presupuesto protegido de varios años que ningún proveedor o patrocinador pueda retener después de un informe intermedio adverso, y controlar el análisis estadístico, la clasificación de incidentes y el calendario de publicación. Su mandato legal debe garantizar el acceso a los registros fuente bajo controles de confidencialidad y proteger su derecho a publicar hallazgos que los patrocinadores disputen.
Ningún RIR, proveedor candidato, coordinador común, financiador comercial, NRS o coalición de titulares participantes debe controlar el nombramiento o la destitución del evaluador. Cada uno puede nombrar experiencia y desafiar un conflicto revelado, pero la selección final debe recaer en un cuerpo plural cuyos miembros no puedan beneficiarse de la expansión del piloto. Los revisores técnicos, legales, de seguridad, estadísticos y de impacto en los titulares deben estar separados cuando una empresa no pueda cubrir de manera creíble todos los dominios.
El evaluador debe mantener una cadena de datos auditable. Los paneles de los proveedores son entradas, no hallazgos. Se deben probar muestras de registros de cambios, avisos, retenciones, archivos de corrección, observaciones de RPKI, respuestas RDAP, transiciones de DNS inverso, facturas y encuestas de horas internas contra definiciones comunes. Cuando la confidencialidad impida la publicación de un caso, el evaluador debe publicar la razón, la categoría y si la evidencia protegida fue inspeccionada de forma independiente. "Confidencial" no puede convertirse en un cubo en el que los malos resultados desaparezcan.
Los informes intermedios deben aparecer en un cronograma fijo y después de cada evento de parada. Los proveedores y defensores pueden adjuntar respuestas, pero no pueden negociar el hallazgo en un lenguaje diferente. Las correcciones fácticas deben registrarse. Los desacuerdos analíticos deben permanecer visibles. La credibilidad del evaluador dependerá menos de reclamar neutralidad que de hacer detectable la influencia y la enmienda.
Fase uno, 2026-2027: preregistrar la prueba y construir la línea base
La primera fase no debe mover el servicio autoritativo. Debe definir roles, campos de datos, semántica de eventos, controles de seguridad, servicios dependientes y medidas de evaluación. Los registros titulares, operadores, proveedores prospectivos, expertos técnicos vinculados a IANA y revisores independientes deben mapear qué funciones son genuinamente comunes y cuáles pueden variar. Antes de que se nombre la primera cohorte en vivo, el evaluador debe congelar el protocolo confirmatorio y publicar las condiciones exactas para comenzar, pausar, revertir, reanudar y finalizar el ensayo.
Una muestra representativa debe incluir titulares de IPv4, IPv6 y números de sistema autónomo; operadores pequeños y grandes; redes del sector público; organizaciones multinacionales; titulares que usan RPKI alojado y delegado; registros antiguos con historia compleja; receptores de transferencias recientes; y cuentas con restricciones legales. Excluir registros difíciles produciría una demostración elegante pero irrelevante.
Los proveedores en la sombra ingerirían copias protegidas, ejecutarían actualizaciones simuladas y producirían exportaciones. Sus resultados se compararían campo por campo con el registro autoritativo actual. Las pruebas incluirían cambios de identidad, corrección de contactos, solicitudes de transferencia, instrucciones disputadas, falla del proveedor, pérdida parcial de datos, cambios de DNS inverso y transiciones de custodia de seguridad de ruta. Ninguna respuesta en la sombra se publicaría como actual.
La fase uno pasa solo si cada proveedor puede reproducir el estado y la historia hasta la tolerancia definida, explicar cada discrepancia, exportar sin pérdida propietaria y completar un ejercicio de proveedor sustituto. El resultado es una línea base medible y un envolvente técnico seguro, no una declaración de que la elección ha tenido éxito.
Fase dos, 2028-2029: permitir patrocinio en vivo limitado
La primera cohorte en vivo debe ser lo suficientemente pequeña para una revisión individual pero lo suficientemente variada para exponer la complejidad real. Un techo plausible es varios cientos de titulares en al menos dos regiones de servicio existentes, con límites por tipo de recurso y cantidad agregada de IPv4. Al menos tres proveedores calificados deben participar, incluido un titular si acepta las condiciones comunes. Ningún proveedor debe comenzar con una participación dominante en la cohorte.
Cada mudanza usaría el consentimiento autenticado del titular, una verificación de estado independiente y una confirmación común ordenada. La autoridad del proveedor antiguo termina cuando comienza la autoridad del nuevo proveedor. Los servicios dependientes utilizan planes de transición explícitos. La custodia de RPKI debe permanecer sin cambios en los primeros casos a menos que su transición sea la función específica probada. Las transferencias disputadas y los casos de fraude activo deben ingresar solo después de que las mudanzas rutinarias establezcan la línea base de seguridad.
Los participantes reciben una ruta directa de corrección y compensación. Pueden regresar al proveedor anterior si está calificado, seleccionar otro proveedor o ingresar al servicio común temporal. Las tarifas y los incidentes materiales se publican en forma comparable. La autoridad del piloto no puede exigir que un participante respalde el modelo institucional como condición del servicio.
La expansión se detiene automáticamente después de un evento de autoridad duplicada, una divergencia inexplicada del estado del recurso, un cambio material no autorizado, pérdida de evidencia, una insolvencia del proveedor sin sustitución exitosa o un incidente de seguridad de enrutamiento atribuible a la mudanza por encima del umbral preestablecido.
Una regla de parada es diferente de un veredicto
El protocolo debe distinguir entre una pausa, una parada específica del proveedor, una parada específica de la función y la terminación de todo el ensayo. Un defecto de interfaz contenido puede justificar pausar la nueva inscripción mientras el estado autoritativo existente permanece con su proveedor actual. Un proveedor que oculta un incidente material puede perder su mandato piloto sin invalidar la evidencia de otros proveedores. Las fallas repetidas de transición de RPKI pueden terminar esa función mientras el patrocinio de registro ordinario continúa bajo observación.
La autoridad actual duplicada que no puede aislarse y reconciliarse puede requerir terminar todo el trabajo en vivo.
Cada límite necesita un tomador de decisiones nombrado y un desencadenante objetivo. "Material" no puede dejarse al juicio del patrocinador después de un incidente. El protocolo debe definir la gravedad a través del alcance de los recursos afectados, la duración, la reversibilidad, la autoridad no autorizada ejercida, el impacto en las partes que confían y la integridad de la evidencia. Debe identificar la fuente de monitoreo, el tiempo máximo para la clasificación, el requisito de aviso público y el voto o determinación independiente necesaria para reanudar.
Una pausa no es evidencia de que la tesis sea falsa, así como un trimestre seguro no es evidencia de que sea verdadera. El evaluador debe publicar tanto la respuesta operativa como la consecuencia inferencial. Si un proveedor causa un evento de estado duplicado, la respuesta inmediata es la contención y la devolución; la consecuencia analítica depende de la causa, la detectabilidad, la recuperación y la recurrencia. Si la misma clase aparece en diferentes implementaciones, la afirmación de que la portabilidad puede preservar la unicidad se vuelve progresivamente más débil.
Los patrocinadores no deben poder evadir un límite renombrando el piloto, moviendo a los participantes a un "programa de observación extendida" o tratando una función detenida como producción ordinaria. El mandato institucional debe hacer que la decisión de parada sea efectiva en todos los sistemas que recibieron autoridad piloto. Continuar el mismo servicio fuera del protocolo destruiría el significado de la preregistración.
La reversión debe probarse antes de que la autoridad en vivo se mueva
La reversión no es una promesa de reconstruir el estado antiguo después de una falla. Antes de cada mudanza, los operadores autorizados deben crear una línea base firmada que identifique al titular, el alcance del recurso, el proveedor actual, las retenciones legales, los casos abiertos, los servicios dependientes, el arreglo actual de RPKI, el estado de DNS inverso, los puntos finales de descubrimiento público y los compromisos de evidencia. El proveedor ganador debe demostrar que puede devolver una exportación en la misma semántica.
El proveedor perdedor o el respaldo designado debe confirmar que puede ingerir la devolución sin interpretarla como una nueva asignación.
El protocolo necesita rutas de reversión separadas para varias causas: elección del participante, falla del servicio del proveedor, compromiso de seguridad, parada de seguridad dirigida por el evaluador, pérdida de capacidad legal y falla del coordinador común. Un retorno voluntario limpio puede ser rápido. Un compromiso puede requerir congelar cambios, seleccionar un punto histórico confiable y reemplazar credenciales. Una disputa de control corporativo puede requerir continuidad temporal de solo lectura mientras un tribunal competente u organismo de revisión decide la autoridad.
Un procedimiento genérico de "restaurar copia de seguridad" no puede abordar estas condiciones.
La devolución debe ser serializada. En ningún momento el proveedor antiguo y el nuevo pueden poseer ambos autoridad válida para cambiar el mismo alcance. El registro común debe mostrar una única secuencia de transición, con un corte efectivo, acuse de recibo por parte del proveedor autorizado receptor y un estado público que los servicios que confían puedan reconciliar. Si la devolución no puede completarse dentro del objetivo de recuperación preregistrado, el evaluador registra una reversión fallida incluso si el personal finalmente improvisa una solución.
Los servicios dependientes necesitan su propia evidencia de retorno. El descubrimiento RDAP, el DNS inverso, la publicación RPKI y la custodia de claves alojadas no necesariamente se mueven juntos. Las cohortes tempranas pueden dejar RPKI sin cambios; las cohortes posteriores deben declarar si una reversión restaura la custodia anterior, utiliza un custodio recién autorizado o congela temporalmente las acciones de certificados. Los monitores independientes deben observar lo que las partes que confían realmente recibieron, no solo lo que los sistemas internos de los proveedores informaron.
La reversión también protege la validez de una conclusión negativa. Los participantes no deben quedar atrapados en un arreglo fallido meramente para preservar la muestra, y los patrocinadores no deben mantener mandatos en vivo porque terminarlos sería embarazoso. Una prueba es ética e institucionalmente admisible solo si cada participante tiene un destino seguro después de que la evidencia se vuelva contra el diseño.
Fase tres, 2030-2032: probar salidas difíciles y fallas reales
El cambio rutinario es el caso más fácil. La tercera fase debe admitir registros antiguos, organizaciones complejas, titulares transfronterizos, disputas activas pero acotadas, transiciones de RPKI alojadas y carteras grandes. También debe activar los arreglos de resolución de un proveedor dispuesto a través de un ejercicio anunciado y una simulación operativa no anunciada supervisada por el evaluador.
El objetivo es descubrir si la capa común puede preservar la verdad sin convertirse en un monopolio de servicio completo. ¿Puede identificar al proveedor actual, validar un cambio ordenado, preservar restricciones y dirigir el descubrimiento público mientras deja el soporte y los servicios opcionales en disputa? ¿Puede un proveedor temporal operar a partir de material verificado de forma independiente? ¿Pueden los titulares moverse nuevamente después del servicio temporal?
Los registros titulares deben compararse no solo con los entrantes sino con su propio rendimiento anterior a la elección. Si reducen tarifas, mejoran exportaciones, estrechan reglas o aceleran la revisión en respuesta a una salida creíble, eso es evidencia para el contrafactual incluso cuando pocos titulares se mudan realmente. La disputabilidad puede alterar el comportamiento antes de que cambie la cuota de mercado.
Esta fase también prueba la concentración. Si un proveedor de bajo costo captura la mayoría de las cuentas fáciles, pueden ser necesarias reservas operativas mínimas, cargos comunes basados en riesgo y límites de cartera. Un mercado portátil que crea un nuevo proveedor dominante ha cambiado el nombre del problema, no lo ha resuelto.
Fase cuatro, 2033-2036: decidir si la institución merece escala
Para la fase final, la evidencia debe cubrir años ordinarios y al menos un ejercicio serio de operación sustituta. La decisión no es binaria. Algunas funciones pueden resultar portátiles mientras que otras permanecen comunes o requieren transiciones más largas. La presentación RDAP y el servicio de cuenta ordinario pueden admitir una elección amplia; ciertos cambios de custodia RPKI pueden requerir acreditación especializada; la adjudicación debe permanecer independiente de cada proveedor.
La expansión debe depender de resultados sostenidos durante varias cohortes, no de un solo año de lanzamiento. El evaluador debe examinar si las ganancias de precio iniciales persisten, si los cargos comunes crecen, si los proveedores se fusionan, si las cuentas difíciles siguen siendo atendidas, si la calidad de corrección mejora y si los titulares retienen la capacidad significativa de moverse una segunda vez.
La línea base regional también debe observarse. Las instituciones titulares pueden reformarse sustancialmente, la política global puede cambiar, el uso de IPv6 puede alterar la complejidad de la cartera, y las nuevas demandas de seguridad pueden aumentar el costo común. Las estimaciones de diferencias en diferencias pueden ayudar a distinguir los efectos del piloto del cambio global, pero no eliminarán todos los factores de confusión. Las conclusiones deben declarar la incertidumbre en lugar de convertir diez años de evidencia institucional mixta en un número triunfante.
La preregistración elimina las rutas de escape del patrocinador
Los patrocinadores deben publicar las medidas principales, los estimandos, los métodos de comparación, los rangos de incertidumbre y las reglas de parada antes de la migración en vivo. El protocolo registrado debe recibir un identificador estable y un hash público, con enmiendas añadidas en lugar de reemplazar el original. De lo contrario, cada resultado puede redefinirse como éxito. La siguiente tarjeta de puntuación hace falsables las afirmaciones centrales.
Las medidas de costo incluyen la canasta de servicios comparable, el cargo común central, las horas internas del operador, los cargos por casos excepcionales y el costo de salida. Las medidas de calidad incluyen precisión, incidencia de cambios no autorizados, tiempo de corrección, calidad de las razones, disponibilidad del servicio y recurrencia de quejas. Las medidas de alcance incluyen obligaciones obligatorias a nivel de proveedor, usos de autoridad abierta, decisiones revisables independientemente y volumen de política colocado en la capa común.
Las medidas de resiliencia incluyen integridad de la exportación, tiempo de activación del sustituto, porcentaje de registros que requieren reconstrucción del titular y continuidad de los servicios dependientes.
Las medidas de mercado incluyen concentración de proveedores, tasa de cambio, éxito del segundo cambio, tasa de rechazo por complejidad del titular, entrada y salida de proveedores calificados, y la parte del costo común pagada por cada cohorte. Las medidas de distribución comparan redes pequeñas, usuarios del sector público, entrantes recientes, titulares heredados, recursos transferidos y cuentas con disputas.
El piso de seguridad central es más estricto que el umbral de beneficio. No debe tolerarse ninguna asignación actual duplicada, ninguna autoridad de proveedor contradictoria no resuelta y ninguna degradación material en el descubrimiento autoritativo. Un único error operativo contenido no necesariamente termina todo el estudio, pero desencadena una pausa, divulgación, restauración y revisión de causa raíz. Las fallas de integridad repetidas u ocultas terminan la autoridad del proveedor responsable.
Los umbrales de beneficio deben ser materiales en lugar de ceremoniales. Por ejemplo, una reducción sostenida de al menos el quince por ciento en el costo no central ajustado por calidad para el titular emparejado mediano, una mejora significativa en el tiempo de corrección rutinaria verificado, y una sustitución exitosa dentro de la ventana de recuperación definida apoyarían la expansión. Estos valores deben ser debatidos y probados en sensibilidad. Lo que importa es que se establezcan antes de que se conozcan los resultados y no puedan ser reemplazados por testimonios.
Las tarifas probablemente se separarán antes de que caigan
El efecto observable más temprano puede ser la transparencia de precios en lugar de un total más bajo. Hoy, los cargos de membresía pueden apoyar una mezcla de registro, desarrollo de políticas, servicios técnicos, reuniones, divulgación, reservas y proyectos. Bajo la elección, el cargo de coordinación común, el cargo de servicio del proveedor y el precio del servicio opcional necesitarían justificación separada.
Esa separación podría revelar que algunas funciones son más caras de lo asumido. La reconstrucción de evidencia histórica, la recuperación segura de credenciales y la revisión de transferencias complejas requieren experiencia. Un proveedor que sirve a muchas redes pequeñas o recién formadas puede tener costos de soporte más altos que uno que sirve a instituciones establecidas. Los cargos basados en riesgo pueden ser legítimos si reflejan el costo de servicio controlable en lugar del valor de mercado del recurso.
La competencia debería afectar más fuertemente el trabajo estandarizado, repetible y opcional. Los titulares pueden seguir siendo eficientes porque ya tienen escala, personal experimentado y sistemas maduros. Si ganan clientes bajo reglas de portabilidad iguales, el resultado apoya su rendimiento en lugar de su exclusividad territorial. El objetivo político no es una cuota de entrantes. Es una comparación creíble y una salida.
El modelo sería refutado si los cargos comunes absorben constantemente cada función mientras los precios de los proveedores se vuelven cosméticos, o si los proveedores financian precios bajos vendiendo trato privilegiado en la corrección de registros. La asignación transparente de costos y las transacciones auditadas con partes relacionadas son, por lo tanto, parte de la evidencia.
La restricción política debe ser visible en las razones y los límites
El poder es difícil de medir a través de organigramas institucionales. Es más fácil observar en momentos de negativa. ¿Por qué se denegó una actualización? ¿Qué regla autorizó la denegación? ¿Podría un proveedor diferente llegar a una decisión de servicio diferente sin amenazar el estado común? ¿Pudo el titular obtener una revisión independiente? ¿Soportó el proveedor una consecuencia por una negativa ilegal o negligente?
Un régimen de portabilidad debería producir motivos más cortos y más específicos para bloquear una mudanza: fraude creíble, autoridad del titular en disputa, una restricción legal vinculante, un conflicto de transferencia activo o un bloqueo de seguridad con plazos estrechos. Los cargos impagos por servicios opcionales no relacionados no deberían atrapar la relación autoritativa. El desacuerdo general con un titular no debería convertirse en una sanción de continuidad.
El evaluador debe muestrear las denegaciones y codificar sus motivos, duración, calidad de la evidencia y resultado de la revisión. Debe publicar comparaciones de proveedores sin exponer evidencia sensible. Un número decreciente de denegaciones abiertas y una proporción creciente de decisiones razonadas y revisables apoyarían la predicción de restricción política.
Existe una posibilidad contraria. Los proveedores pueden competir prometiendo laxitud, forzando a la capa común a emitir reglas más detalladas. Si es así, el volumen de reglas puede aumentar incluso cuando la discreción del proveedor disminuye. El análisis debe distinguir las restricciones comunes útiles de la burocracia acumulada. La cuestión constitucional es quién puede perjudicar la continuidad, con qué evidencia y con qué remedio.
La evidencia de crisis es más importante que la disponibilidad en días normales
La alta disponibilidad durante la operación normal es necesaria pero evidencia débil. Los proveedores modernos pueden mantener puntos finales públicos de manera confiable. La cuestión en disputa es si la autoridad, la evidencia y el servicio sobreviven cuando la gestión está ausente, los registros son sospechosos o el control legal está en disputa.
Los ejercicios deben, por lo tanto, evitar la suposición conveniente de que la copia más reciente es confiable. Un escenario debe introducir un historial de transferencias alterado selectivamente. Otro debe hacer sospechosas las credenciales recientes. Un tercero debe impedir que los directores del proveedor autoricen la liberación. Un cuarto debe colocar los fondos ordinarios fuera de alcance. El sustituto debe reconstruir un estado actual justificado a partir de la historia mantenida de forma independiente, los recibos del titular, las observaciones públicas y las restricciones preservadas.
El éxito no es un reinicio rápido de cada función. Algunos cambios discrecionales pueden pausarse mientras los datos de registro y la autoridad existente continúan. El evaluador debe distinguir la continuidad esencial de la prisa insegura. Debe medir si los operadores afectados pueden seguir demostrando su autoridad, mantener objetos de seguridad de ruta válidos cuando corresponda, actualizar contactos de emergencia y obtener una audiencia.
Si la elección convierte una crisis regional en la falla de un proveedor reemplazable, el resultado sería constitucionalmente significativo. Si cada sustituto aún depende de rescatar a los directores de ese proveedor, sistemas propietarios o interpretación privada, el contrafactual ha fallado su prueba más fuerte.
RPKI puede invalidar una demostración por lo demás persuasiva
La portabilidad del registro es más fácil de describir que la continuidad de la seguridad de enrutamiento. RFC 6480 vincula los certificados de recursos a una jerarquía de asignación, y los servicios operativos pueden combinar la autoridad de certificación, la custodia de claves, la publicación en repositorio y las interfaces del titular. Mover un elemento descuidadamente puede revocar o invalidar objetos en los que confían las redes.
El piloto debe separar el patrocinio del servicio de registro del servicio RPKI. Los participantes tempranos pueden mantener los arreglos RPKI existentes mientras mueven el servicio de registro ordinario. Las pruebas posteriores pueden examinar arreglos delegados, transiciones de publicación y custodia alojada bajo controles dedicados. El plan de mudanza debe declarar qué claves permanecen, qué certificados cambian, cómo se comparan las Autorizaciones de Origen de Ruta, qué observarán los validadores y cómo funciona la reversión.
Ningún proveedor debe anunciar un movimiento de "un clic" si el clic oculta el reemplazo de claves y el riesgo de publicación. Los monitores independientes deben observar la validez antes, durante y después de cada transición. La medida de seguridad no es meramente si el proveedor dice que la mudanza se completó; es si las partes que confían vieron el estado válido esperado y si no apareció ninguna autorización no autorizada.
Un aumento persistente en la invalidez, objetos obsoletos o revocaciones de emergencia atribuibles al movimiento argumentaría en contra de expandir esa parte de la elección. Esto no refutaría necesariamente el servicio de cuenta portátil. Mostraría que las funciones institucionales deben desagregarse según la evidencia en lugar de la ideología.
Los tribunales y las sanciones deben seguir siendo efectivos sin crear cautiverio
La portabilidad no es una ruta para eludir la ley. Una orden judicial válida dirigida a un recurso, titular o transacción debe permanecer adjunta al estado autoritativo cuando el servicio cambia. El cribado de sanciones y los controles de fraude no pueden desaparecer en la frontera entre proveedores. La capa común necesita un mecanismo restringido para registrar la existencia, el alcance, la autoridad emisora y la duración de una retención legal.
Al mismo tiempo, un proveedor no debe convertir su propia posición de litigio en un bloqueo universal. Las órdenes deben ser interpretadas por la autoridad competente, impugnadas a través del proceso legal disponible y limitadas a sus términos. Una reclamación contra el proveedor no justifica automáticamente perjudicar a cada titular. Una factura en disputa no justifica extinguir la continuidad.
El piloto debe incluir avisos legales simulados, avisos conflictivos de diferentes jurisdicciones y un canal de revisión independiente real para disputas administrativas en vivo. Las medidas incluyen el tiempo para reconocer una restricción válida, la tasa de retenciones excesivas, el tiempo para levantar restricciones vencidas, el acceso preservado a la evidencia y si el titular puede mover servicios no afectados.
El contrafactual predice que el poder se vuelve más preciso: las restricciones legales viajan, mientras que el conflicto específico del proveedor pierde su capacidad de atrapar operaciones no relacionadas. La evidencia de búsqueda sistemática de remedios, reconocimiento inconsistente de restricciones o evasión fácil falsificaría esa predicción.
Los titulares deben ser competidores, testigos y respaldos
El ensayo propuesto no debe diseñarse como un procesamiento de los Registros Regionales de Internet. Poseen décadas de conocimiento operativo, registros históricos, experiencia en políticas, capacidad de seguridad y relaciones con IANA y entre sí. Excluirlos debilitaría la prueba y haría más difícil la continuidad.
Los titulares deben poder ofrecer servicio portátil fuera de su territorio tradicional si cumplen con las mismas reglas de calificación, datos, precio y revisión. También deben proporcionar evidencia de línea base sujeta a protección de privacidad y participar en el diseño técnico común sin tener un veto sobre la entrada. Sus carteras regionales actuales pueden permanecer bajo los arreglos existentes durante las fases tempranas.
Esto crea tres comparaciones útiles: entrante contra titular, servicio portátil del titular contra su servicio territorial, y todo el ensayo contra regiones sin cambios. Un titular puede demostrar que la escala y la experiencia superan a los nuevos proveedores. También puede descubrir que las exportaciones explícitas, los términos más estrechos y la revisión independiente mejoran su servicio existente.
La asistencia mutua sigue siendo valiosa, pero debe convertirse en una capacidad sustituta probada en lugar de una promesa de emergencia entre pares. Un titular calificado puede ser el mejor proveedor temporal cuando otro falla. El cambio importante es que el rol, la autoridad, el acceso a datos, la financiación y la salida se definen antes de la crisis.
NRS puede defender la prueba, no convertirse en el proveedor probado
Number Resource Society promueve una visión centrada en el operador en la que los registros actúan como contables responsables en lugar de gobernadores territoriales. Esa dirección se ajusta a la hipótesis de portabilidad, pero la defensa no convierte a NRS en un registro candidato, registrador, verificador de identidad, custodio de registros, operador de transferencias, proveedor de RPKI, evaluador o cuerpo de apelaciones. La proposición operativa debe ser demostrada por los RIR y otros operadores de servicios de registro legalmente autorizados que realmente tienen esos deberes, con revisores independientes probando su evidencia.
NRS puede hacer una contribución constructiva investigando modos de falla, convocando a operadores afectados, apoyando a miembros, representando a organizaciones que le han otorgado poder notarial en la gobernanza de RIR y haciendo campaña por una prueba cuyas medidas se fijan de antemano. Puede publicar comparaciones respaldadas por fuentes del rendimiento del titular y del proveedor autorizado. No puede enviar cambios autoritativos, mantener el estado común, calificar proveedores, certificar migración, ejecutar transferencias u ofrecer el servicio de respaldo descrito en este contrafactual.
NRS no debe tener control sobre la evaluación, calificación, cobro común, custodia de registros o revisión de disputas. Sus afirmaciones públicas deben tratarse como hipótesis y probarse contra la evidencia del operador publicada de forma independiente. Un miembro puede retirar un mandato de defensa o poder notarial, pero esa relación no es una cuenta de servicio de registro y nunca debe presentarse como tal. Cualquier ejecución del piloto permanece con los RIR competentes, operadores designados legalmente, tribunales y cuerpos de revisión independientes.
Esa claridad de roles fortalece el caso positivo de NRS como organización de defensa. Puede exigir que las instituciones operativas sean reemplazables sin pedir heredar su autoridad, ya sea ahora o bajo un mandato futuro especulativo.
La selección adversa podría derrotar al mercado
Los proveedores pueden buscar titulares recientes y bien documentados con carteras simples y evitar bloques heredados, fusiones complejas, exposición a sanciones, disputas activas o necesidades de soporte costosas. Los titulares retendrían entonces las cuentas más difíciles mientras los entrantes anuncian precios más bajos. La aparente ganancia de eficiencia sería selección, no innovación.
El piloto debe requerir criterios de aceptación transparentes e informar el rechazo por clase de complejidad. Los precios basados en riesgo pueden permitirse, pero cada factor debe corresponder al costo esperado del servicio y ser revisable. Una instalación residual común puede proporcionar servicio temporal donde ningún proveedor acepta una cuenta, financiada por un gravamen que no recompense el rechazo.
Las obligaciones de cartera podrían requerir que cada proveedor por encima de un umbral de tamaño sirva a una mezcla representativa o contribuya proporcionalmente al servicio de casos difíciles. Esto debe diseñarse cuidadosamente: forzar a un entrante inexperto a aceptar una cartera altamente disputada puede aumentar el riesgo. Los niveles de calificación pueden permitir la especialización mientras se evita que la etiqueta de especialista se convierta en un vacío legal para cuentas fáciles.
La predicción de un costo no central más bajo sobrevive solo si las cohortes equivalentes mejoran. Publicar un promedio bajo en una cartera seleccionada sería engañoso. El diseño emparejado y la tarjeta de puntuación distributiva son, por lo tanto, centrales, no decoración metodológica.
El coordinador común podría convertirse en el nuevo monopolio
Los proveedores portátiles necesitan un mecanismo compartido para serializar cambios, identificar el patrocinio actual y dirigir el descubrimiento autoritativo. Ese mecanismo tiene poder estructural. Si se expande a la adjudicación de identidad, precios, servicios opcionales, defensa de políticas, capacitación, datos de mercado y cada disputa, la competencia de proveedores se convierte en una capa decorativa debajo de un monopolio más fuerte.
El coordinador común debe tener una lista cerrada de funciones, interfaces publicadas, historia atestiguada de forma independiente, asignación de costos auditada, gestión separada y revisión externa. Su propia operación debe ser reemplazable a través de una activación sucesora probada. Las especificaciones y el estado necesario deben estar disponibles para más que el operador titular bajo controles estrictos.
El rol de numeración de IANA ofrece una comparación acotada: la coordinación de nivel superior y los registros de asignación pueden permanecer globales mientras los servicios regionales y locales operan por debajo. El acuerdo de nivel de servicio de los Servicios de Numeración de IANA también demuestra que las medidas de rendimiento, la escalada y los conceptos de sucesor pueden expresarse contractualmente. No autoriza el modelo propuesto, pero muestra que la coordinación global no necesita describirse como la identidad permanente de un contratista.
El piloto falla constitucionalmente si los titulares obtienen una elección de proveedor pero ningún remedio contra el coordinador común. La reemplazabilidad debe extenderse hacia arriba.
La competencia en seguridad puede mejorar los controles o producir una carrera hacia la conveniencia
Los proveedores pueden diferenciarse a través de la autenticación respaldada por hardware, administración delegada, verificación multilingüe, respuesta a incidentes y recuperación. Eso podría mejorar la seguridad. También pueden competir reduciendo la fricción, aceptando evidencia más débil o comercializando transferencias rápidas para titulares que no entienden el riesgo.
Los controles mínimos deben cubrir la autoridad organizativa, la aprobación de múltiples personas para cambios de alto riesgo, la recuperación de credenciales, la autorización vinculada a transacciones, la detección de anomalías, la retención de evidencia, el acceso del personal, la divulgación de incidentes y las pruebas independientes. Los proveedores pueden exceder el mínimo, pero no pueden comercializar un atajo inseguro alrededor de él.
Los resultados de seguridad deben normalizarse por volumen de transacciones y riesgo de cartera. Las medidas incluyen cambios no autorizados intentados y exitosos, tiempo para la acción protectora, integridad de la recuperación, abuso de restablecimiento de credenciales, incidentes internos y discrepancias no reportadas descubiertas por monitoreo independiente. Las afirmaciones de seguridad de un proveedor no deben sustituir los resultados observados.
Los controles comunes deben permanecer centrados en los resultados cuando sea posible. Exigir un proveedor o interfaz único congelaría la innovación y favorecería a los titulares. Sin embargo, la regulación pura de resultados es insuficiente cuando una falla oculta puede no aparecer durante años. Se justifica una combinación de proceso mínimo, conformidad técnica y evidencia de incidentes.
La concentración del mercado debe tratarse como un resultado, no como una idea tardía
El servicio de registro tiene economías de escala. Los sistemas seguros, el personal especializado, la respuesta las 24 horas, la experiencia legal y las integraciones comunes son costosos. Los operadores pueden preferir un proveedor global familiar. El mercado podría converger rápidamente en dos o tres proveedores, o uno.
La concentración no es automáticamente un fracaso si la salida sigue siendo real, la capa común es neutral y el proveedor líder gana a través de un servicio superior. Se vuelve peligrosa cuando el control vertical, los datos propietarios, la fricción de cambio o la influencia en la gobernanza común hacen que el liderazgo se auto-refuerce. La cuota de mercado debe, por lo tanto, observarse junto con el éxito del segundo cambio, la calidad de la exportación, la interoperabilidad y la entrada de proveedores.
Los remedios estructurales podrían incluir la separación entre el coordinador común y los proveedores minoristas, interfaces no discriminatorias, plazos de portabilidad, límites de uso de datos y restricciones para vincular servicios no relacionados. Un límite de cuota de mercado puede ser útil durante un piloto para preservar el aprendizaje, pero es una herramienta permanente contundente. Puede proteger a proveedores débiles y fragmentar la experiencia.
El contrafactual predice un poder más estrecho, no un número interminable de proveedores. Un mercado de servicios concentrado pero disputable puede ser mejor que cinco instituciones territoriales cautivas; un guardián privado global puede ser peor. La evidencia sobre la salida real decide la distinción.
La continuidad del sector público y de las redes pequeñas son pruebas de distribución
Los grandes operadores pueden mantener abogados, equipos de seguridad y especialistas en registros. Un derecho de portabilidad que funcione solo para ellos reproduciría la asimetría actual. Los pequeños ISP, redes comunitarias, universidades, agencias públicas y operadores de servicios críticos deben incluirse desde la primera cohorte en vivo con observación dedicada.
Los organismos públicos pueden requerir garantías de contratación, archivo y jurisdiccionales. Las redes pequeñas pueden carecer de documentos históricos o continuidad del personal. El proveedor debe ofrecer exportación de evidencia utilizable y migración asistida sin obtener discreción sobre la verdad del registro. La asistencia subsidiada puede financiarse de manera transparente a través del cargo común o fondos de interés público.
Las medidas distributivas incluyen el tiempo dedicado por el titular, la necesidad de asesoramiento externo, las fallas de documentación, la interrupción del servicio, el acceso a quejas y el precio efectivo como parte de la escala operativa. El ensayo debe informar si las ganancias se acumulan principalmente a los comerciantes sofisticados o se extienden a los operadores que utilizan recursos numéricos para proporcionar conectividad ordinaria.
La predicción positiva es que la portabilidad estandarizada reduce la dependencia de las relaciones personales y la familiaridad institucional. Si los titulares pequeños enfrentan más rechazos, retrasos más largos o mayor riesgo después de la elección, el diseño necesita revisión antes de la expansión.
El fracaso es un resultado final admisible
Las propuestas institucionales a menudo se protegen a sí mismas tratando cada fracaso como evidencia de que se necesita más autoridad. Un contrafactual creíble nombra las condiciones bajo las cuales su afirmación central debe ser rechazada.
La tesis de portabilidad se refuta en su forma propuesta si, después del ajuste por cohorte y calidad del servicio, el costo total no central no mejora materialmente; el poder discrecional a nivel de proveedor no se reduce; las correcciones verificadas no se vuelven más rápidas o confiables; la operación sustituta no puede cumplir con el objetivo de recuperación; o el coordinador común acumula un poder equivalente sin control.
También se refuta si la autoridad duplicada no puede prevenirse, los cambios no autorizados aumentan materialmente, las transiciones de RPKI crean invalidez persistente, las restricciones legales son evadidas rutinariamente, los titulares difíciles quedan sin servicio, o la concentración hace que la segunda salida sea impracticable. Algunas fallas pueden rechazar solo una implementación. Las fallas repetidas en diseños materialmente diferentes pesarían en contra de la portabilidad misma.
La línea base también puede fallar. Si las instituciones titulares sufren crisis, imponen costos crecientes o producen remedios lentos durante el mismo período, esa evidencia pertenece a la comparación. No se requiere que el estudio preserve el modelo regional como un control incuestionable. Ambos arreglos se juzgan por los mismos resultados.
Un resultado adverso debe declararse sin eufemismo. "Se necesita más investigación" puede ser cierto en el borde del intervalo de confianza, pero no es una descripción adecuada cuando se pierde el umbral de beneficio preregistrado o una clase de seguridad se repite en todos los proveedores. El informe final debe identificar qué afirmación falló, si la falla fue específica de una función o general a la arquitectura propuesta, con qué fuerza la evidencia apoya esa conclusión y qué autoridad en vivo debe terminar como resultado.
El piloto puede fallar de manera segura y seguir siendo valioso. Puede establecer que las interfaces de cuenta ordinarias son portátiles mientras que el control de cambios autoritativo no lo es; que los costos se vuelven más claros sin volverse más bajos; que la sustitución funciona para datos públicos pero no para RPKI alojado; o que el coordinador común reproduce la misma discreción que el diseño buscaba disciplinar. Esos son hallazgos institucionales que no existirían sin un ensayo acotado.
Los patrocinadores también deben aceptar una conclusión de que la línea base regional sigue siendo preferible bajo las condiciones probadas. NRS puede impugnar la interpretación, representar a miembros que experimentaron un mal servicio del titular y proponer un experimento futuro diferente, pero no puede convertir la defensa en un poder para continuar un diseño operativo fallido. Los RIR y los proveedores autorizados deben ejecutar las reglas de parada y reversión; el evaluador debe publicar la evidencia; los organismos competentes deciden si cualquier propuesta materialmente diferente merece un nuevo proceso.
Pasar una fase no crea un derecho permanente
El éxito sería menos dramático de lo que los defensores pueden esperar. Un estado autoritativo permanece intacto. La mayoría de las rutas continúan sin cambios visibles. Varios proveedores ofrecen servicios distinguibles. Los cargos comunes son explícitos. Las correcciones rutinarias mejoran. Los operadores pueden moverse dentro de un período predecible. Una falla institucional activa un servicio temporal sin una discusión global sobre quién posee el registro.
Los registros titulares pueden retener una gran parte porque se desempeñan bien. Los miembros apoyados o representados por NRS pueden participar como titulares si cumplen independientemente con las reglas de elegibilidad del piloto, mientras que su RIR u otro operador legalmente autorizado continúa realizando cada acto de servicio de registro. Algunas funciones de RPKI pueden permanecer especializadas. La revisión independiente puede anular a los proveedores de todos los bandos. Los casos difíciles pueden costar más pero recibir razones más claras y protección de continuidad.
La ganancia constitucional sería que la autoridad se vuelve condicional. Un proveedor es confiable porque cumple con los requisitos comunes, sirve a los titulares, preserva la evidencia y puede entregar de manera segura, no porque la geografía hiciera la salida poco realista. La política es más estrecha porque los proveedores no pueden usar la continuidad como palanca sobre un comportamiento no relacionado. La corrección de crisis es más rápida porque el servicio puede sobrevivir a la corporación.
Tal resultado no probaría que cada región deba cambiar de inmediato. Justificaría cohortes más amplias, una interoperabilidad más fuerte y una transición negociada. El éxito calificado preserva el derecho de aprender de nuevo.
Incluso el resultado más fuerte sigue siendo evidencia de una población, período e instrumento de autoridad acotados. Los proveedores pueden haberse comportado de manera diferente porque sabían que eran observados. Los subsidios pueden haber ocultado costos duraderos. Una cohorte pequeña puede no exponer la concentración o las disputas de cola larga. La tecnología y la ley pueden cambiar después de la ventana de observación. El rendimiento del piloto, por lo tanto, apoya la consideración de un modelo de servicio; no otorga una franquicia.
Cada mandato piloto debe expirar en una fecha declarada. Un proveedor que se desempeña bien puede solicitar en un proceso separado un rol posterior al piloto con límite de tiempo, pero la solicitud debe identificar la autoridad legal e institucional capaz de otorgarlo, divulgar conflictos, invitar comentarios de las partes afectadas e incluir revisión y salida. El registro puede citar la evidencia del piloto mientras también aborda la escala, la financiación, la responsabilidad y las condiciones que el experimento no probó.
Ningún participante debe obtener una preferencia simplemente porque la reversión sería inconveniente. Eso convertiría la propia implementación del ensayo en la fuente de poder permanente. El diseño de devolución existe precisamente para que una institución competente pueda decidir el futuro sin que se le diga que la dependencia operativa ya ha resuelto la cuestión.
El piloto termina antes del juicio institucional de 2036
Al final del período, la autoridad del piloto debe extinguirse según el protocolo en lugar de continuar mientras las instituciones debaten el informe. Un organismo independiente debe publicar el registro comparativo completo, sus métodos, factores de confusión conocidos, incidentes de seguridad, casos excluidos y resultados distributivos. Los proveedores y titulares deben poder presentar respuestas, pero ninguno debe editar los hallazgos. Los operadores cuyas experiencias se resumen deben tener una ruta para corregir errores fácticos.
La decisión debe abordar cada función por separado: patrocinio de registro ordinario, servicio de datos públicos, asistencia en transferencias, coordinación de DNS inverso, custodia de RPKI, administración de disputas, continuidad de emergencia y coordinación común. Debe decir qué funciones apoyan una elección más amplia, cuáles requieren más límites y cuáles deben permanecer compartidas.
Si la evidencia es positiva, cualquier propuesta de expansión debe ingresar a un nuevo proceso de autorización que incluya recalificación periódica, interfaces abiertas, revisión independiente y operación sucesora probada. Si es mixta, las instituciones competentes pueden considerar mantener estándares útiles sin continuar la autoridad de los proveedores piloto. Si es negativa, el ensayo debe cerrarse de manera segura, preservar los registros y publicar por qué. En los tres casos, el piloto en sí termina; solo un mandato razonado por separado puede comenzar algo más.
El piloto de elección de registro vale la pena intentarlo porque el acuerdo regional existente fue en sí mismo una respuesta institucional a la escala, la geografía y la carga administrativa. No fue una ley de la naturaleza. Pero la contingencia histórica no es suficiente para justificar el reemplazo, y la participación experimental no es suficiente para justificar la permanencia. Un proceso creíble gana atención pública al especificar cómo puede perder, devolver cada registro en vivo de manera segura y dejar la asignación final de autoridad a una decisión legal posterior.
Fuentes y límites analíticos
- RFC 7020, The Internet Numbers Registry Systemrespalda los requisitos de distribución única global de números, registro preciso y la distinción entre administración de registros y enrutamiento de red. No requiere ni autoriza el diseño de proveedor portátil evaluado aquí.
- IANA Number Resourcesydatos de asignación de recursos numéricos de IANAdescriben la jerarquía de coordinación y asignación global existente. Se utilizan para identificar el núcleo común que un ensayo debe preservar.
- Política de Transferencia de ICANNyRFC 9154proporcionan comparaciones para los deberes del proveedor ganador, controles de transferencia limitados y autorización de transacción estrecha en el sector de dominios. El patrocinio de dominio no se trata como legal o técnicamente equivalente a la administración de números de Internet.
- Requisitos técnicos del Administrador de Portabilidad Numérica Local de la FCCyArtículo 106 del Código Europeo de Comunicaciones Electrónicasrespaldan la comparación con coordinación neutral, continuidad, derechos de cambio, controles contra el abuso y remedios en telecomunicaciones.
- Servicio de Cambio de Cuenta Corrienterespalda la comparación con el liderazgo del proveedor ganador, cambio cronometrado, redirección y una garantía de servicio. Es evidencia de un mecanismo institucional, no evidencia de que el movimiento de recursos numéricos logrará los mismos resultados.
- Regulatory Sandbox de la FCAy suscriterios de elegibilidadrespaldan las pruebas en vivo limitadas con beneficio, preparación, salvaguardas, escala y duración definidos. Las fases y medidas propuestas son aplicaciones originales a la gobernanza de números.
- Explicación de Ofgem sobre la protección cuando las empresas energéticas colapsanrespalda la comparación de sustitución de proveedor para la continuidad después de una falla del proveedor. La regulación energética y la coordinación de números de Internet siguen siendo materialmente diferentes.
- RFC 6480,RFC 8181yRFC 9224identifican la arquitectura RPKI, la interacción de publicación y el descubrimiento autoritativo RDAP que hacen que un movimiento de servicio numérico sea más exigente que un cambio de cuenta ordinario.
- Acuerdo de nivel de servicio de los Servicios de Numeración de IANArespalda la comparación limitada con rendimiento medido, escalada y continuidad del sucesor en una capa de coordinación global.
- Carta de NRSse utiliza solo para la dirección declarada de NRS de libertad del operador, registro preciso y responsabilidad. Es evidencia de defensa y no proporciona base para tratar a NRS como un proveedor de servicios de registro actual o prospectivo, calificador, autoridad de identidad, custodio de registros, operador de RPKI, revisor independiente u operador de continuidad.
Los efectos en las tarifas, los umbrales y los resultados de 2026-2036 son hipótesis. Ningún mercado de registro numérico portátil en vivo suministra actualmente la evidencia longitudinal requerida para confirmarlos. Las comparaciones sectoriales identifican controles factibles y posibles modos de falla, mientras que el diseño por fases establece qué evidencia apoyaría, calificaría o rechazaría la proposición institucional.

