Resumen

  • La paradoja de la responsabilidad no es si AWS ofrece más de una región. Lo hace. La prueba es si un cliente puede usar esa diversidad durante un incidente del proveedor sin antes llamar a planos de control deteriorados, rutas de identidad, APIs de gestión de DNS, sistemas de monitoreo o canales de soporte. Una segunda región que existe pero no está aprovisionada, no autenticada, no observable o inalcanzable sin un cambio de configuración en vivo es inventario, no resiliencia operativa.
  • El 19 y 20 de octubre de 2025, una condición de carrera latente en el sistema automático de gestión de DNS de DynamoDB provocó que el endpoint regional público en US-East-1 perdiera todas las direcciones IP. Tres DNS Enactors ejecutándose de forma independiente en tres zonas de disponibilidad no contuvieron el fallo porque compartían una secuencia de plan regional y una lógica de limpieza. La automatización entró en un estado inconsistente y requirió reparación manual.
  • Restaurar la resolución del endpoint de DynamoDB después de aproximadamente tres horas no restauró la región. El sistema de gestión de hosts de EC2 había perdido arrendamientos y entró en colapso congestivo; la propagación del estado de red acumuló un retraso; las comprobaciones de salud de Network Load Balancer eliminaron capacidad saludable cuya configuración no había llegado; y los servicios dependientes se estrangularon, fallaron o vaciaron colas durante muchas horas más. AWS describió tres períodos principales de impacto en el cliente, con la recuperación de Redshift continuando hasta el 21 de octubre.
  • El evento no significó que todas las máquinas de US-East-1 fallaran. Las instancias EC2 existentes permanecieron saludables, y algunos planos de datos aprovisionados estáticamente continuaron sirviendo. En cambio, el fallo afectó la capacidad de encontrar DynamoDB, lanzar o conectar nueva capacidad, procesar eventos, autenticar algunas solicitudes, reemplazar componentes no saludables y operar funciones de soporte y centro de contacto. Esa distinción explica tanto por qué algunos clientes sobrevivieron como por qué los diseños convencionales de autoescalado fallaron más tarde bajo la carga diurna.
  • Los registros del sector público concretan la consecuencia de continuidad sin respaldar afirmaciones de una interrupción gubernamental universal. NOAA dijo que prácticamente todos los productos NESDIS se vieron afectados y se retrasaron en lugar de perderse. La USPTO informó interrupciones intermitentes en el Patent Center y dirigió a los solicitantes a métodos alternativos. Una plataforma científica de la NASA advirtió que la asignación de cuadernos podría agotar el tiempo de espera. Cada caso muestra un requisito de continuidad diferente: preservar productos sensibles al tiempo, preservar rutas de presentación legal o preservar el acceso a cómputo de reemplazo.
  • AWS controla los internos de los servicios gestionados, la arquitectura de servicios globales, los algoritmos de recuperación, la publicación de estado y la evidencia de remediación. Los clientes y los proveedores de software descendente controlan la colocación de cargas de trabajo, el preaprovisionamiento, el mapeo de dependencias, los modos degradados, el monitoreo independiente y los procedimientos de continuidad. Los organismos públicos también controlan la clasificación de misiones, los requisitos de adquisición y las alternativas no digitales. La responsabilidad compartida no es igual: sigue quién podría haber cambiado la capacidad fallida antes del evento.

Un producto regional con un problema de escape no regional

La propuesta de venta de la nube se basa en dominios de fallo seleccionables. Un cliente puede distribuir una aplicación entre zonas de disponibilidad dentro de una región, replicar datos a otra región y pagar por una copia activa o en espera en otro lugar. En teoría, eso hace que la resiliencia sea una propiedad comprable. En la práctica, la compra solo se vuelve real cuando el cliente puede ejercerla mientras el entorno primario está deteriorado.

Ahí es donde comienza la paradoja del plano de control. Un servidor ya en ejecución puede seguir procesando mientras la API utilizada para describirlo o reemplazarlo no está disponible. Un registro DNS puede seguir respondiendo mientras la API utilizada para cambiarlo está caída. Una réplica en otra región puede estar saludable mientras la aplicación aún envía todas las solicitudes al endpoint regional fallido. Un servicio de soporte puede conmutar a otra región y aun así rechazar usuarios porque una dependencia de metadatos de cuenta devuelve una respuesta aparentemente autorizada pero no válida.

La propiaguía de Fault Isolation Boundaries de AWS sobre servicios globaleses inusualmente explícita al respecto. En la partición comercial estándar, IAM, AWS Organizations, Account Management, Route 53 Public DNS, CloudFront y varios planos de control relacionados están alojados en una sola región, a menudo US-East-1. Sus planos de datos pueden estar distribuidos globalmente, y esa separación puede preservar el servicio establecido. Pero la guía indica a los clientes que no dependan de esos planos de control durante la recuperación y enumera operaciones en servicios regionales que aún dependen de Route 53 u otras funciones de control de una sola región.

La pregunta correcta de responsabilidad, por lo tanto, no es: "¿Compró el cliente una segunda región?" Es:¿Podía el cliente ingresar, observar, autorizar, enrutar y operar la segunda región utilizando rutas que ya estaban activas y no requerían la autoridad deteriorada?

Esa prueba es más estricta que los diagramas de arquitectura. Pregunta si la capacidad estaba preaprovisionada; si los datos estaban lo suficientemente actualizados; si las credenciales y las políticas de confianza funcionaban; si el control de conmutación era una acción del plano de datos; si el personal tenía comunicaciones independientes; si la evidencia de estado provenía de fuera del proveedor; y si el servicio público detrás del sistema podía tolerar la transición. También pregunta si AWS había mantenido sus propios sistemas de recuperación e información al cliente fuera del fallo que intentaba explicar.

Octubre de 2025 proporcionó una respuesta detallada. Algunas partes funcionaron exactamente como predice la teoría de estabilidad estática. Las instancias EC2 existentes permanecieron disponibles. Las réplicas de DynamoDB Global Tables en otras regiones podían ser contactadas directamente. Otras partes expusieron el precio de las dependencias de control ocultas: el endpoint regional de la base de datos desapareció, los arrendamientos de hosts expiraron, no se pudo lanzar capacidad, las nuevas instancias carecían de estado de red, las comprobaciones de salud retiraron capacidad utilizable del balanceador de carga y el acceso al soporte se bloqueó a pesar de la conmutación regional.

El reloj de octubre de 2025 contenía tres interrupciones

Elresumen posterior al evento de AWSfecha el evento desde las 11:48 p. m., hora del Pacífico, del 19 de octubre hasta las 2:20 p. m. del 20 de octubre y separa tres períodos: errores de la API de DynamoDB, fallos de lanzamiento y conectividad de EC2, y errores de conexión de Network Load Balancer. Eso es más preciso que asignar un inicio y un final únicos. Diferentes servicios, rutas de control y retrasos de los clientes se recuperaron en diferentes relojes.

Hora del PacíficoEventoSignificado de responsabilidad
19 oct, 11:48 p. m.Se aplica un plan de DNS antiguo después de uno más nuevo; la limpieza elimina el plan antiguo ahora activo, eliminando todas las direcciones IP del endpoint regional de DynamoDB.Trabajadores redundantes comparten un defecto de ordenamiento de planes y crean una respuesta regional no válida. La automatización no puede autorrepararse.
20 oct, 12:38 a. m.Los ingenieros identifican el estado de DNS de DynamoDB como la fuente.La detección y el diagnóstico son relativamente rápidos, pero la identificación no restaura el estado autorizado.
1:15 a. m.Medidas temporales permiten que algunos servicios internos lleguen a DynamoDB y restauren herramientas internas clave.La recuperación requiere primero reparar la capacidad del proveedor para operarse a sí mismo.
2:25 a. m.Se restaura la información de DNS; las respuestas en caché expiran alrededor de las 2:40 a. m.El desencadenante se mitiga después de aproximadamente tres horas, pero el estado dependiente ya se ha degradado.
2:32 a. m.Se informa que las réplicas de DynamoDB Global Tables están actualizadas.Las réplicas entre regiones sobrevivieron como objetivo disponible, aunque el retraso de replicación y el enrutamiento del cliente aún debían gestionarse.
4:14 a. m.Después de varias mitigaciones intentadas, los ingenieros estrangulan el trabajo entrante y reinician selectivamente los hosts del DropletWorkflow Manager de EC2.La flota de gestión de hosts ha entrado en colapso congestivo, y AWS dice que ningún procedimiento de recuperación operativa establecido cubría este estado.
5:28 a. m.Se restablecen los arrendamientos de hosts EC2 y algunos lanzamientos tienen éxito bajo estrangulamiento.La capacidad regresa gradualmente; un éxito de API no significa aún una instancia en red utilizable.
5:30 a. m. en adelanteAlgunos Network Load Balancers experimentan errores de conexión.Una fase de recuperación posterior crea una nueva consecuencia en el plano de datos para endpoints previamente saludables.
6:21 a. m.El Network Manager de EC2 desarrolla retrasos de propagación mientras procesa el estado de red diferido.La cola de recuperación se convierte en un cuello de botella separado después de que la gestión de hosts mejora.
6:52 a. m.El monitoreo detecta fallos alternantes en las comprobaciones de salud de NLB.Las nuevas instancias sin estado de red completo parecen no saludables, por lo que la automatización de protección retira capacidad.
9:36 a. m.AWS deshabilita la conmutación automática de NLB.Los operadores suspenden temporalmente un mecanismo de seguridad porque sus suposiciones son falsas en el estado de recuperación.
10:36 a. m.La propagación de la configuración de red vuelve a la normalidad.Las instancias recién lanzadas pueden volver a estar completamente conectadas, pero los estrangulamientos permanecen.
11:23 a. m.Los ingenieros comienzan a relajar los estrangulamientos de solicitudes EC2.La recuperación se controla por admisión para evitar recrear la sobrecarga.
1:50 p. m.Se informa que las API y los lanzamientos de EC2 son normales.El plano de control se recupera más de once horas después de que el endpoint regional fallara por primera vez.
2:09 p. m.Se vuelve a habilitar la conmutación automática de DNS de NLB.El sistema de protección normal regresa solo después de que sus entradas son confiables nuevamente.
2:20 p. m.El informe detallado de AWS marca el evento principal como finalizado.Este es un hito del proveedor, no una prueba de que todos los retrasos de servicio o las operaciones del cliente estén conciliadas.
3:01 p. m.La actualización pública de Amazondice que todos los servicios de AWS volvieron a operar normalmente.Un hito público posterior refleja una restauración más amplia del servicio.
21 oct, 4:05 a. m.Los operadores terminan de restaurar los clústeres de Redshift atrapados en procesos de reemplazo.Algunos recursos dependientes permanecen deteriorados más allá de la ventana del evento principal.

Las mediciones externas ayudan a probar el límite de la cuenta del proveedor. Elanálisis de la interrupción de Cisco ThousandEyesobservó pérdida temprana de paquetes en el borde de AWS cerca de Ashburn, seguida más tarde por tiempos de espera de aplicaciones y respuestas 503 a medida que el fallo avanzaba a través de las fases de recuperación. Esas observaciones no pueden revelar internos propietarios, pero respaldan la conclusión de que la alcanzabilidad de la red y la preparación de la aplicación se recuperaron en momentos diferentes.

Elhistorial de eventos público de AWSsigue siendo útil como el registro de comunicación contemporáneo. No debe tratarse como un informe forense completo. Un historial de estado informa lo que el proveedor sabía y decidió publicar en un momento dado; el informe posterior al evento añade mecanismos y reconciliación posterior.

La línea de tiempo también muestra por qué "se arregló el DNS" es una declaración de recuperación inadecuada. La reparación del DNS restauró una ruta a DynamoDB. No restauró los arrendamientos que habían expirado, las actualizaciones de red que se habían puesto en cola, las instancias que no se habían creado, las entregas de eventos que se habían estrangulado, las sesiones del centro de contacto que habían fallado o los procesos del cliente que habían expirado. La duración de la recuperación fue la suma de las transiciones de estado dependientes, no la duración del primer defecto.

El desencadenante fue DNS; la raíz fue la autoridad compartida sobre el estado

El mecanismo iniciador fue preciso. DynamoDB mantiene cientos de miles de registros DNS para una gran flota regional de balanceadores de carga. Un DNS Planner crea planes que describen endpoints, balanceadores de carga y pesos. Los DNS Enactors, que se ejecutan de forma independiente en tres zonas de disponibilidad, aplican esos planes a través de Route 53. Antes de actuar, un Enactor verifica que su plan sea más reciente que el ya aplicado.

Un Enactor se volvió inusualmente lento y reintentó actualizaciones en varios endpoints. Mientras progresaba, el Planner generó planes más nuevos y otro Enactor aplicó rápidamente uno de ellos. El Enactor más nuevo luego comenzó a limpiar planes antiguos. En ese momento, el Enactor retrasado llegó al endpoint regional principal de DynamoDB y aplicó su plan más antiguo. Su verificación de frescura había ocurrido mucho antes y ahora estaba obsoleta. La limpieza eliminó el plan antiguo que acababa de activarse. Todas las direcciones IP del endpoint desaparecieron, y el estado de la automatización se volvió lo suficientemente inconsistente como para que los planes posteriores no pudieran aplicarse.

"Un error de DNS" describe el desencadenante visible para el cliente. No explica el fallo de control. Las condiciones más profundas fueron:

  • la frescura se verificaba una vez al inicio de una operación de múltiples endpoints en lugar de hacerlo atómicamente en cada escritura decisiva;
  • un plan más antiguo podía sobrescribir una generación más nueva después de un retraso prolongado;
  • la limpieza podía eliminar un plan sin demostrar que ya no estaba activo;
  • trabajadores independientes en zonas separadas compartían las mismas suposiciones de ordenamiento y eliminación;
  • un plan regional simplificaba la gestión de varios tipos de endpoints, aumentando la autoridad asociada al plan;
  • el estado no válido estaba fuera del sobre de autorreparación de la automatización y requería un humano para restaurarlo.

Esta distinción importa porque agregar un cuarto Enactor no necesariamente resolvería un defecto de protocolo compartido por todos los Enactors. Las zonas de disponibilidad separaban procesos e infraestructura; no creaban corrección independiente. La redundancia multiplicaba actores que ejecutaban la misma transición insegura.

Los compromisos de remediación de AWS siguen ese diagnóstico. La empresa deshabilitó la automatización del Planner y del Enactor en todo el mundo a la espera de cambios, se comprometió a corregir la condición de carrera y evitar que se apliquen planes incorrectos, propuso un límite de velocidad sobre cuánta capacidad podía eliminar un NLB durante la conmutación de zona de disponibilidad, agregó pruebas de recuperación de EC2 y prometió una limitación de tasa consciente de la cola para la propagación del estado de red. Esas son medidas más sólidas que simplemente expandir la capacidad porque restringen la autoridad y la velocidad de recuperación.

Siguen siendo compromisos en un informe escrito por el proveedor. El registro público revisado aquí no contiene un registro de cierre auditado de forma independiente que muestre la fecha de implementación, la cobertura de pruebas, los casos de prueba fallidos, las excepciones restantes y el rendimiento sostenido de cada acción. La confianza en el relato causal puede ser alta, mientras que la confianza en la efectividad actual de la remediación sigue siendo menor.

Un servidor saludable no era un servicio recuperable

AWS enfatizó correctamente que las instancias EC2 lanzadas antes del evento permanecieron saludables. Ese hecho evita que el análisis se deslice hacia la afirmación inexacta de que US-East-1 se desconectó físicamente. También expone el riesgo exacto que los clientes estaban comprando.

AWS define los planos de control como los sistemas que crean, describen, actualizan, eliminan y enumeran recursos, mientras que los planos de datos realizan el trabajo principal del servicio. Suguía de planos de control y datosexplica por qué lanzar EC2 es una orquestación compleja que involucra hosts, interfaces de red, almacenamiento, credenciales y configuración de seguridad. La instancia en ejecución es más simple. Puede sobrevivir un período en el que esa orquestación no puede crear una nueva.

Esto es estabilidad estática en forma práctica. Un servicio sobrevive porque no necesita cambiar. La debilidad aparece cuando la demanda aumenta, un host falla, un despliegue reemplaza capacidad, un certificado o secreto requiere renovación, un contenedor sale o un operador intenta conmutar. Entonces, el servicio supuestamente estable llama al plano de control en el momento menos indulgente.

Larevisión posterior al incidente de Buildkiteilustra el fallo retrasado. Su experiencia del cliente fue inicialmente estable. A medida que el tráfico comercial estadounidense aumentó, los fallos de lanzamiento de EC2 impidieron el autoescalado, los shards agotaron sus diferentes márgenes de capacidad y la latencia y los errores aumentaron horas después de que comenzara el incidente de AWS. Buildkite preservó capacidad pausando los despliegues y luego movió la carga a un shard no utilizado. El activo de resiliencia decisivo fue el cómputo de repuesto ya en ejecución, no la existencia de una política de autoescalado.

Postman documentó una segunda forma de acoplamiento. Surevisión de la interrupcióndice que los flujos críticos se vieron afectados, su página de estado alojada en AWS retrasó la comunicación y la creación automática de canales de incidentes internos dependía de la infraestructura afectada. Postman aceptó su propia parte de responsabilidad y describió el trabajo en degradación gradual, capacidad multirregional, comunicaciones redundantes y, finalmente, operación activa-activa entre regiones y proveedores. Esa es la asignación correcta: AWS es dueño del fallo ascendente; Postman es dueño de la decisión de dejar que la comunicación y la coordinación con el cliente lo hereden.

Por lo tanto, el evento de octubre divide las arquitecturas de los clientes en categorías más útiles que "región única" y "multirregional":

  1. En ejecución pero dependiente del cambio.El servicio existente continúa hasta que el escalado, el reemplazo, el despliegue o la renovación de credenciales requieran actividad de control.
  2. Multizona pero dependiente del control regional.Los fallos de zona física están cubiertos, mientras que los endpoints regionales compartidos, los planos de control y los sistemas de recuperación permanecen comunes.
  3. Multirregional pero dependiente de la activación.Los datos y las plantillas existen en otro lugar, pero la conmutación requiere aprovisionamiento, cambios de IAM, cambios de Route 53 u operadores no disponibles.
  4. Multirregional con estabilidad estática.La capacidad, las rutas de datos, las identidades, las comprobaciones de salud y los controles de enrutamiento ya están disponibles, con la conmutación utilizando mecanismos del plano de datos preposicionados.
  5. Diversidad de proveedores o continuidad manual.Un subconjunto crítico puede ejecutarse fuera de AWS, o la función pública continúa a través de un proceso no digital acotado cuando la operación en la nube no es económica.

Solo las categorías cuarta y quinta responden directamente a la paradoja del plano de control. Las otras pueden seguir siendo opciones racionales para cargas de trabajo de menor impacto, pero no deben presentarse como resiliencia equivalente.

La automatización de la recuperación se convirtió en el segundo incidente

Una vez que el DNS de DynamoDB se recuperó, el DropletWorkflow Manager de EC2 intentó restablecer los arrendamientos con los hosts físicos que gestionaba. Durante la interrupción del endpoint, esos arrendamientos habían expirado. Un host sin un arrendamiento activo no podía aceptar de forma segura una nueva instancia. Los intentos de la flota tardaron lo suficiente como para que el trabajo expirara y se pusiera en cola nuevamente. AWS dice que el sistema entró en colapso congestivo y no tenía un procedimiento establecido para ese estado de recuperación.

Esta es una admisión importante. La condición de carrera original fue un fallo de ordenamiento poco común. El deterioro prolongado de EC2 provino de una clase previsible de carga de recuperación: muchos objetos expirados intentando volverse actuales juntos. La escala exacta puede haber sido excepcional, pero las colas, los tiempos de espera, los reintentos y los arrendamientos son mecanismos ordinarios de sistemas distribuidos. Un diseño de recuperación debe probarse al tamaño de flota que se espera restaurar, no solo para el rendimiento en estado estable o la pérdida incremental de hosts.

La siguiente fase hizo visible la dependencia para el tráfico en ejecución. El Network Manager tuvo que propagar un retraso de configuración para instancias nuevas o modificadas. Algunas instancias nuevas existían antes de que su estado de red estuviera completo. Las comprobaciones de salud de NLB vieron fallos, alternaron entre saludable y no saludable, y retiraron nodos y objetivos del DNS. El propio sistema de comprobación se cargó, y la conmutación automática de zona de disponibilidad eliminó capacidad de los balanceadores de carga multizona. AWS deshabilitó la protección automática a las 9:36 a. m. para evitar que actuara sobre evidencia engañosa.

Ningún componente individual se comportó irracionalmente de forma aislada. La gestión de arrendamientos rechazó hosts no propios. El Network Manager puso en cola la configuración. Las comprobaciones de salud eliminaron objetivos inalcanzables. La conmutación de zona de disponibilidad retiró capacidad deteriorada. La cascada surgió porque cada mecanismo interpretó la recuperación parcial como un fallo local ordinario. La responsabilidad recae en el diseño entre sistemas: el estado de recuperación debe representarse lo suficientemente bien como para que un control de seguridad no castigue a otro sistema por estar temporalmente incompleto.

Los efectos descendentes fueron específicos del servicio. Lambda estranguló el trabajo asíncrono y basado en colas para proteger la invocación síncrona. ECS, EKS y Fargate experimentaron fallos de lanzamiento y escalado. Amazon Connect vio fallos en llamadas entrantes y salientes, tonos de ocupado, silencio, fallos en mensajes de audio y enrutamiento de llamadas, problemas de inicio de sesión del personal del centro de contacto e informes retrasados. STS experimentó dos períodos de errores elevados. Redshift tenía tanto una dependencia regional como un defecto que enviaba una solicitud de resolución de grupo IAM a US-East-1 desde todas las regiones; los usuarios de bases de datos locales no se vieron afectados por ese fallo particular entre regiones.

Ese detalle de Redshift es especialmente revelador. Un recurso puede estar ubicado físicamente fuera de US-East-1 y aún así llamar a un endpoint allí debido a una elección de implementación. El despliegue geográfico y la geografía de dependencias no son idénticos. Los clientes necesitan el último mapa, pero solo el proveedor puede divulgar autoritativamente cada dependencia interna entre servicios.

El estado y el soporte son parte del sistema de seguridad

Durante un incidente en la nube, los clientes necesitan decidir si están viendo su propio defecto, una restricción específica de la cuenta, un evento regional o una dependencia global. Necesitan saber si deben conmutar, congelar despliegues, descargar carga, preservar colas o invocar continuidad manual. La información de estado es, por lo tanto, un control operativo, no relaciones públicas después del hecho.

En octubre de 2025, el AWS Support Center sí conmutó a otra región. Sin embargo, un subsistema de metadatos de cuenta devolvió respuestas que bloquearon a los usuarios legítimos para ver o actualizar casos. AWS había diseñado un bypass para respuestas fallidas; la dependencia devolvió respuestas no válidas en su lugar. Desde las 11:48 p. m. hasta las 2:40 a. m., los clientes no pudieron crear, ver o actualizar casos de soporte a través de la consola o la API.

Este es un problema clásico de fallo semántico. Una dependencia puede no estar disponible, ser lenta, incorrecta, obsoleta o confiadamente incorrecta. La lógica de conmutación que solo maneja un tiempo de espera no es independiente de un sistema que devuelve una mala autoridad. La continuidad del soporte debe validar el significado del estado de la cuenta, preservar una ruta acotada del último buen estado conocido y ofrecer una ruta autenticada por separado para eventos graves del proveedor.

El registro muestra mejora y recurrencia a la vez. En elevento de servicio de AWS del 7 de diciembre de 2021, la congestión entre la red principal y la interna de AWS afectó el monitoreo, las herramientas de despliegue, los planos de control, el Contact Center de soporte y la conmutación del Service Health Dashboard a una región en espera. AWS prometió una nueva arquitectura de soporte activa en múltiples regiones. El Support Center de 2025 se movió de región según lo diseñado, lo cual es evidencia de progreso arquitectónico. Su dependencia de metadatos aún impidió que el servicio cumpliera su propósito.

Los clientes también necesitan distinguir el estado público de AWS de la evidencia personalizada. Ladocumentación actual del AWS Health Dashboarddice que la página pública no firmada muestra eventos de servicio públicos, mientras que las vistas con inicio de sesión proporcionan eventos y recursos específicos de la cuenta. AWS recomienda el monitoreo programático a través de EventBridge. Suguía para eventos de salud públicos y específicos de la cuentarecomienda una regla de respaldo para que los eventos puedan entregarse a una región alternativa. Laguía de reglas de eventos regionalesde AWS dice que los eventos de salud globales, como las notificaciones de IAM, requieren una regla en US-East-1, otra razón para probar en lugar de asumir independencia.

Ninguna organización debe depender de un solo canal. Un arreglo defendible combina la salud pública del proveedor, eventos específicos de la cuenta entregados en más de una región, sondas sintéticas de otro proveedor o red local, métricas comerciales a nivel de aplicación y una página de incidentes con alojamiento e identidad independientes. Las listas de contactos, los detalles del puente y los umbrales de decisión deben poder recuperarse sin la cuenta de nube ordinaria.

El impacto en el servicio público fue un problema de continuidad, no un recuento de sitios web

La interrupción de octubre afectó a los sistemas públicos de maneras que hacen engañosos los totales simples de interrupción. La mejor evidencia es específica del servicio.

La National Oceanic and Atmospheric Administration informó que sus instalaciones en la nube de los National Centers for Environmental Information comenzaron a recibir alarmas de baja ingesta alrededor de las 06:57 UTC. Unmensaje operativo de NOAA/NESDISdijo que prácticamente todos los productos NESDIS se vieron afectados y que los datos parecían retrasados en lugar de perdidos. Esa es una consecuencia materialmente diferente de la destrucción permanente de datos. Aun así, puede ser grave: los productos ambientales son sensibles al tiempo, y un retraso de seis horas puede comprimir el tiempo disponible para usar observaciones en pronósticos, planificación o análisis descendente.

La US Patent and Trademark Office dijo que suPatent Center experimentó interrupciones intermitentesy dirigió a los usuarios que no podían presentar solicitudes a métodos alternativos de presentación. Ese aviso demuestra un principio de continuidad maduro: la función legal o administrativa es la presentación, no la disponibilidad de una aplicación web. Una ruta alternativa preserva la función incluso cuando la interfaz principal está degradada. El registro no establece cuántos usuarios invocaron la alternativa, si todas las presentaciones cumplieron su plazo o por qué el incidente no se marcó como resuelto hasta el 23 de octubre; esas preguntas deben permanecer abiertas.

La plataforma científica Fornax de la NASA advirtió queiniciar un servidor de cuadernos podría agotar el tiempo de esperamientras se asignaban recursos de cómputo. Eso se relaciona directamente con el fallo del plano de control de EC2. Los datos científicos o cuadernos existentes no necesitaban desaparecer para que la investigación se detuviera; la incapacidad de asignar un entorno de trabajo es suficiente.

Estos registros no prueban que todos los servicios gubernamentales que usan AWS se vieran afectados, que las llamadas de emergencia fallaran debido a este evento o que ocurriera algún resultado de seguridad pública. Muestran por qué la adquisición debe mirar más allá de dónde se almacenan los datos. Un servicio público puede depender del control de la nube para la generación de productos, la presentación, el análisis, las comunicaciones o el cómputo necesario para examinar datos.

El documento de agosto de 2024 de CISA sobredependencias de comunicaciones de seguridad públicaadvierte que la infraestructura no agencial puede conllevar un riesgo de continuidad correlacionado y recomienda redundancia explícita, procedimientos de inactividad, copias de seguridad, personal y requisitos de soporte. ElInfrastructure Dependency Primermás amplio de CISA pregunta si un proveedor redundante también es compartido por otros sistemas y cuánto tiempo se puede mantener una solución alternativa. Esas preguntas se ajustan exactamente a la arquitectura de la nube.

Un organismo público debe clasificar la continuidad a nivel de misión:

  • ¿Qué resultado debe producirse aún si el control de la nube no está disponible durante tres, quince o cuarenta y ocho horas?
  • ¿Qué trabajo puede continuar en la capacidad ya en ejecución y qué margen de demanda existe?
  • ¿Qué registros pueden retrasarse y qué plazos legales o de seguridad requieren una ruta alternativa?
  • ¿Puede el personal autenticarse, comunicarse y publicar consejos públicos sin el proveedor afectado?
  • ¿Está una segunda región realmente activa, o la organización debe aprovisionarla a través del plano de control fallido?
  • ¿Puede un proceso manual aceptar trabajo, crear un recibo con sello de tiempo y conciliarlo más tarde sin perder integridad?
  • ¿Proporciona el contrato evidencia técnica y rutas de soporte, no solo créditos después del evento?

Laguía de planificación de contingencia del NISTsigue siendo relevante porque se centra en el impacto comercial, las prioridades de recuperación, el procesamiento alternativo y los planes probados. La tecnología ha cambiado; el deber de preservar la función pública no.

US-East-1 tiene un historial, no un error recurrente

Sería engañoso describir cada evento del Norte de Virginia como el mismo defecto del plano de control. Los mecanismos difieren. El valor del historial es que diferentes desencadenantes expusieron repetidamente preguntas comunes sobre el alcance, la dependencia interna, la velocidad de recuperación y la visibilidad del cliente.

EventoDesencadenante y mecanismoSeñal de dependenciaAcción del proveedor divulgada
Junio de 2012Un evento de energía afectó a una zona de disponibilidad; los planos de control de EC2 y EBS en toda la región también se vieron afectados.Los clientes que intentaban reemplazar la capacidad de la zona no podían lanzar ni conectar recursos en otras partes de la región durante parte del evento.AWS describió el trabajo sobre el cuello de botella de arranque y recuperación y los cambios en el comportamiento de transferencia eléctrica.
Febrero de 2017Un operador autorizado de S3 ingresó una entrada de comando incorrecta, eliminando más capacidad de índice y colocación de la prevista.Las API de S3 y los servicios de AWS que dependían de S3 fallaron; el panel de estado también perdió información porque su consola de administración dependía de S3.AWS agregó salvaguardas de comando, redujo el radio de explosión y separó las dependencias de administración de estado.
Noviembre de 2020Una adición modesta de capacidad frontal de Kinesis provocó que cada servidor excediera un límite de hilos del sistema operativo.Cognito, CloudWatch, las señales de Auto Scaling, Lambda, EventBridge, ECS y EKS heredaron el fallo del servicio; la herramienta de publicación de estado normal dependía de Cognito.AWS se comprometió a la celularización frontal, mejoras de alarma y arranque en frío, partición de servicios y capacitación regular en una herramienta de estado manual.
Diciembre de 2021El escalado automático desencadenó un aumento de conexiones de clientes que abrumó los dispositivos entre las redes interna y principal de AWS; un problema de retroceso latente mantuvo la congestión.El monitoreo, el DNS interno, la autorización, el despliegue, los controles de EC2, el soporte y la conmutación de estado compartieron la ruta restringida.AWS deshabilitó la actividad desencadenante, agregó protecciones de red, corrigió el comportamiento del cliente y prometió una arquitectura de soporte multirregional activa.
Octubre de 2025Una condición de carrera del plan DNS eliminó el endpoint regional de DynamoDB y dejó a la automatización incapaz de autorrepararse.La dependencia de DynamoDB causó el colapso del arrendamiento de EC2, el retraso de la red, la inestabilidad de las comprobaciones de salud de NLB, el estrangulamiento del servicio, el bloqueo del soporte y el impacto en IAM de Redshift entre regiones.AWS deshabilitó la automatización a nivel mundial, se comprometió a corregir la condición de carrera y la seguridad del plan, límites de velocidad de NLB, pruebas de recuperación de EC2 y estrangulamiento consciente de la cola.

Elresumen del servicio de 2012es una declaración temprana de la paradoja: los planos de control son particularmente importantes durante una interrupción porque es cuando los clientes intentan crear o mover recursos. Elinforme de S3 de 2017mostró un comando operativo con más autoridad de la prevista y duraciones de reinicio que no se habían experimentado a la escala más nueva de la región. Elinforme de Kinesis de 2020separó explícitamente el desencadenante de la causa raíz, luego describió un reinicio controlado de la flota de muchas horas y una dependencia de la herramienta de estado. El informe de 2021 expuso la visibilidad reducida del propio proveedor y el deterioro del despliegue.

El patrón recurrente no es negligencia de un operador nombrado, ni prueba de que AWS no aprendió. Es que la escala cambia el significado de una operación segura; los componentes redundantes pueden compartir un solo fallo lógico; la demanda de recuperación puede ser mayor que la demanda en estado estable; y las herramientas de incidentes pueden compartir un destino con la producción. Por lo tanto, cada acción posterior al evento debe probarse contra el siguiente mecanismo, no meramente contra el último desencadenante exacto.

Hay evidencia de aprendizaje. El Support Center de 2025 tenía conmutación regional donde la arquitectura de 2021 no había protegido la creación de casos. DynamoDB utilizó tres DNS Enactors independientes. EC2 preservó las instancias existentes. Las réplicas de Global Tables permanecieron contactables en otros lugares. AWS publicó un informe causal inusualmente detallado. El problema restante es si estos controles fallan de manera segura cuando reciben un estado lento, obsoleto o no válido en lugar de una interrupción limpia.

Qué resiliencia se puede comprar realmente

ElPilar de Confiabilidadactual de AWS indica a los clientes que definan objetivos de recuperación, prueben la recuperación ante desastres, realicen días de juego, utilicen estabilidad estática y dependan de los planos de datos durante la recuperación. La guía específicaREL11-BP04identifica antipatrones comunes: cambiar registros DNS durante un incidente, escalar la capacidad del plano de control porque los recursos de conmutación estaban subaprovisionados o depender de una cadena de API de gestión.

Esa guía es técnicamente sólida. También define la factura. La estabilidad estática significa pagar por los recursos antes de que se necesiten, restringir los despliegues que eliminarían la capacidad de reserva, mantener las identidades y los datos listos en otra región y operar un control de enrutamiento cuyo plano de datos ya esté distribuido. Un cliente que solo paga por copias de seguridad ha comprado protección de datos, no continuidad inmediata del servicio. Un cliente con una luz piloto ha comprado una reconstrucción más rápida, no inmunidad al fallo del plano de control. Un cliente con standby en caliente ha comprado capacidad con una dependencia de escalado a menos que el standby pueda llevar la carga prometida tal como está aprovisionado.

Lasopciones de recuperación ante desastresde AWS describen los modelos de copia de seguridad y restauración, luz piloto, standby en caliente y activo-activo. También aconsejan usar solo operaciones del plano de datos para la máxima resiliencia. La implicación debe escribirse en los casos de negocio: un costo más bajo generalmente compra más trabajo del plano de control en el momento del fallo. El propietario de la carga de trabajo debe decidir si esa compensación es aceptable, y los ejecutivos deben financiar la respuesta que coincida con la tolerancia al impacto que aprobaron.

Multirregional no es un veredicto automático. Las réplicas de DynamoDB Global Tables fuera de US-East-1 estuvieron disponibles durante el evento de 2025, pero las aplicaciones aún necesitaban una ruta probada hacia ellas, un comportamiento de consistencia aceptable, capacidad adecuada y una forma de conciliar la réplica recuperada. Las políticas de identidad, las claves de KMS, los secretos, los certificados, las imágenes de contenedores, las colas, la observabilidad y las API de terceros necesitan la misma revisión. Un diagrama con dos iconos de base de datos no prueba que una transacción comercial completa pueda finalizar en ambos lugares.

La multinube tampoco es un veredicto automático. Reconstruir cada servicio gestionado contra un segundo proveedor puede introducir inconsistencia de datos, errores operativos, mayor costo y una plataforma que solo se ejercita durante emergencias. La últimarevisión de la GAO sobre la adquisición federal de nubeencontró que las agencias que utilizan múltiples proveedores también enfrentaban desafíos de interoperabilidad, personal, herramientas y gestión. El informe registra la formulación más útil ofrecida por el Departamento de Defensa: gestionar el riesgo de concentración y mantener la conciencia arquitectónica y una estrategia de salida para las cargas de trabajo críticas para la misión, en lugar de tratar toda la capacidad específica del proveedor como inherentemente incorrecta.

La respuesta práctica es la independencia selectiva. Mantenga la ruta más crítica en el tiempo estáticamente estable entre regiones. Preserve un modo pequeño de solo lectura o de ingesta cuando el servicio completo sea demasiado caro. Utilice formatos de datos abiertos y exportaciones probadas para funciones que puedan necesitar otro proveedor. Mantenga un proceso manual o fuera de línea donde lo permitan las obligaciones legales y públicas. No gaste el mismo dinero en resiliencia en una página de información pública, una instrucción de pago de beneficios, un trabajo de análisis interno y una función de despacho de seguridad; sus consecuencias difieren.

La responsabilidad sigue la capacidad que podría haber cambiado el resultado

La "responsabilidad compartida" puede convertirse en una niebla si se usa para dividir cada fallo de manera uniforme. El propiomodelo de resilienciade AWS asigna la resiliencia de la infraestructura de la nube y los servicios gestionados a AWS, mientras que los clientes eligen la configuración, la colocación, la replicación, la copia de seguridad y la arquitectura de la carga de trabajo. La división es útil solo cuando se traduce en capacidades de control concretas.

CapacidadTitular del control primarioPrueba de responsabilidad después de octubre de 2025
Corrección del plan DNS de DynamoDBAWS¿Puede una generación antigua reemplazar a una nueva, puede la limpieza eliminar el estado activo y puede la automatización recuperarse sin un operador?
Independencia lógica entre zonasAWS¿Tienen los trabajadores redundantes suposiciones de fallo independientes, o solo hosts independientes?
Recuperación del arrendamiento de hosts EC2AWS¿Se ha probado la pérdida de arrendamiento de toda la flota, con límites de cola, control de admisión y un procedimiento documentado?
Control de retraso del estado de redAWS¿Se adapta la tasa de trabajo entrante a la profundidad de la cola antes de que los tiempos de espera y los reintentos creen un colapso?
Salud y velocidad de conmutación de NLBAWS¿Puede la automatización de salud distinguir la recuperación incompleta de la capacidad no saludable, y está limitada la tasa de eliminación?
Dependencias de servicios internosAWS¿Qué operaciones regionales y globales llaman a US-East-1, y se les da a los clientes suficiente información para diseñar en torno a ellas?
Continuidad de AWS Health y soporteAWS¿Pueden funcionar las actualizaciones públicas, los eventos personalizados y el soporte de casos graves con la identidad, los metadatos, la consola y las rutas regionales deteriorados?
Selección de región y servicioCliente o proveedor descendente¿Era la arquitectura seleccionada proporcionada al impacto comercial medido y a los objetivos de recuperación aprobados?
Conmutación preaprovisionadaCliente o proveedor descendente¿Puede moverse el tráfico sin crear recursos, cambiar planos de control globales u obtener autoridad no disponible?
Degradación gradualCliente o proveedor descendente¿Qué transacciones permanecen disponibles, en cola, de solo lectura o aceptadas manualmente cuando fallan las dependencias?
Detección y comunicación independientesAmbos, para sus propias operaciones¿Tiene cada parte sondas externas, un canal de incidentes independiente y una ruta de estado que sobreviva al proveedor primario?
Continuidad del servicio públicoAutoridad pública y proveedor de servicios¿Se preserva el resultado de la misión a través de procesamiento alternativo, plazos, orientación pública, personal y reconciliación?
Aseguramiento de la remediaciónLiderazgo de AWS, funciones de aseguramiento del cliente y, cuando corresponda, compradores públicos¿Están los cambios completos, probados a escala, muestreados de forma independiente e informados con excepciones en lugar de anunciarse una vez?

Esta asignación evita dos errores. Los clientes no pueden parchear el DNS Enactor de DynamoDB o crear un procedimiento de recuperación de EC2 dentro de AWS. AWS no puede decidir si un portal de presentación municipal merece una operación activa-activa o si una agencia pública tiene un proceso de ingesta manual aceptable. Una empresa SaaS descendente no puede culpar a AWS por alojar su propia página de estado en el mismo dominio de fallo, pero tampoco puede descubrir los internos no divulgados del proveedor solo con disciplina arquitectónica.

La responsabilidad también cambia con la abstracción del servicio. Un cliente que gestiona EC2 tiene más opciones y más trabajo. Un cliente que compra DynamoDB delega más operación de la plataforma y debe esperar que AWS gestione el DNS interno del servicio y la recuperación correctamente. El cliente aún controla la replicación y la conmutación de la aplicación. El servicio gestionado no elimina el deber de continuidad del cliente; reduce los internos que el cliente puede controlar y aumenta el deber del proveedor de divulgar límites de fallo utilizables.

Los créditos valoran una métrica de servicio, no la consecuencia pública

La responsabilidad comercial tiene una capa contractual estrecha y una capa operativa más amplia. ElSLA de DynamoDBactual se compromete a niveles de tiempo de actividad regional mensual, con un objetivo más alto para el uso calificado de Global Tables. El recurso indicado es generalmente un crédito de servicio, sujeto a elegibilidad, cálculos, exclusiones, registros y una reclamación presentada a través de AWS Support.

Ese mecanismo puede hacer cumplir un compromiso de servicio medible. No reembolsa el costo total de productos ambientales retrasados, trabajo de desarrollador perdido, llamadas de clientes fallidas, transacciones descendentes perdidas o personal público desviado al procesamiento manual. Tampoco un SLA determina si un cliente en particular diseñó de manera responsable. Los términos del contrato varían, y este análisis no encuentra que AWS deba daños a ningún cliente más allá del acuerdo que lo rige.

El evento de 2025 expone una ironía procesal sin probar un defecto legal: el proceso de crédito estándar utiliza el Support Center, mientras que las funciones de caso de soporte no estaban disponibles durante la fase inicial de DynamoDB. Los clientes tenían ventanas de reclamación posteriores, por lo que el bloqueo temporal no impidió necesariamente una reclamación. Muestra por qué la evidencia necesaria para un crédito debe recopilarse fuera de la pila de monitoreo afectada. CloudWatch, registros de aplicaciones, sondas sintéticas, eventos del proveedor, registros de transacciones del cliente y notas manuales de incidentes deben conservarse de forma independiente.

La escala del proveedor aumenta la expectativa de gobernanza. ElFormulario 10-K de 2025 de Amazoninforma ventas netas de AWS de $128.725 mil millones, un aumento del 20 por ciento, y reconoce por separado los riesgos de interrupción del sistema y redundancia incompleta. Los ingresos no son prueba de culpa. Son evidencia de capacidad, alcance y una relación económica en la que los controles de confiabilidad, los informes transparentes posteriores al evento y el aseguramiento de la remediación son obligaciones centrales del producto en lugar de extras caritativos.

Qué evidencia cambiaría la conclusión

La conclusión actual es que AWS proporcionó una resiliencia sustancial del plano de datos y física, pero el evento de octubre de 2025 expuso suposiciones comunes prevenibles en la automatización regional de DNS y rutas de recuperación insuficientemente preparadas. Los clientes podían comprar una resiliencia significativa, pero solo preposicionando el servicio y evitando las dependencias del plano de control que el propio AWS documenta. Algunas dependencias entre regiones y de soporte seguían siendo menos independientes de lo que los clientes podrían inferir razonablemente solo por la geografía.

Varios tipos de evidencia harían ese juicio más favorable:

  • un registro de cierre público fechado para la corrección de la condición de carrera de DNS, la aplicación de frescura por endpoint, la protección de eliminación del plan activo y la recuperación automatizada del estado de plan inconsistente;
  • resultados de inyección de fallos que muestren que los Enactors retrasados, las generaciones obsoletas, la limpieza concurrente, las escrituras parciales de Route 53 y la recuperación fallida no pueden eliminar el endpoint regional;
  • pruebas de EC2 a escala realista de US-East-1 que muestren que la reconstrucción completa de arrendamientos se completa en un tiempo limitado sin colapso congestivo;
  • evidencia de profundidad de cola y control de admisión para el Network Manager, incluido el comportamiento bajo un retraso regional mayor que el de octubre;
  • pruebas de NLB que demuestren que los controles de velocidad evitan que las transiciones de salud falsas retiren demasiada capacidad multizona;
  • un inventario de dependencias de servicio que identifique las operaciones de control globales o de una sola región que puedan afectar las cargas de trabajo fuera de US-East-1, con cambios rastreados a lo largo del tiempo;
  • ejercicios demostrados de soporte y AWS Health en los que la identidad, los metadatos de la cuenta, la consola, la entrega de EventBridge y una región fallen de forma independiente;
  • métricas de recuperación orientadas al cliente que separen la reparación del endpoint, la reparación del plano de control, la estabilidad del plano de datos, la eliminación del retraso y la conciliación de recursos;
  • aseguramiento independiente que muestre la finalización y durabilidad de las acciones correctivas de incidentes graves.

La evidencia también podría hacer la conclusión menos favorable. La repetición de la misma condición de carrera después de que la automatización se vuelva a habilitar, otra recuperación de la flota sin un procedimiento establecido, llamadas no documentadas entre regiones a US-East-1 o fallos de estado y soporte a través de la misma ruta de metadatos indicarían que la remediación trató los síntomas en lugar de los límites de autoridad. Una interrupción más corta por sí sola no resolvería la cuestión; un patrón de carga de trabajo afortunado puede ocultar un control inseguro.

La evidencia del cliente también importa. Una agencia pública que pueda mostrar un día de juego regional completo, comunicaciones independientes, datos actuales en una región secundaria, capacidad preaprovisionada, servicio manual acotado y una conciliación exitosa de plazos ha convertido la diversidad de la nube en continuidad. Un cliente que etiquete las copias de seguridad o las plantillas como "multirregionales" sin un ejercicio cronometrado no lo ha hecho.

AWS publica un estándar útil sobre cuándo emitiráResúmenes posteriores al evento (PES) públicos, incluyendo eventos amplios que involucren fallos significativos del plano de control o impacto en la infraestructura. Ese archivo es valioso. Un aseguramiento más sólido conectaría cada informe grave con un registro de acciones duraderas para que los clientes y los compradores públicos puedan distinguir una corrección anunciada de un control probado, completado y sostenido.

La conclusión de responsabilidad

La interrupción de octubre de 2025 comenzó con dos piezas de automatización en desacuerdo sobre el tiempo. Una aplicó lentamente un plan antiguo; otra aplicó un plan nuevo y eliminó el antiguo; juntas borraron la dirección de un servicio regional de base de datos. El largo incidente provino de todo lo que había confiado en esa dirección y del estado que se degradó mientras estuvo ausente.

AWS es dueña de esa cadena dentro de la nube. Diseñó el protocolo del plan, la autoridad de limpieza, los arrendamientos de hosts, las colas de recuperación, las comprobaciones de salud, las dependencias del servicio y la ruta de soporte. Su informe posterior al evento es técnicamente específico, sus remediaciones inmediatas coinciden con los mecanismos divulgados y su preservación de las instancias EC2 existentes valida el valor de la separación del plano de control. El problema de responsabilidad no resuelto es la prueba de que las correcciones funcionan a escala regional y que las dependencias ocultas entre regiones se hacen lo suficientemente visibles para que los clientes actúen.

Los clientes son dueños de una cadena diferente. Ellos deciden si la demanda máxima puede ser atendida por la capacidad en ejecución, si las réplicas pueden ser alcanzadas sin una nueva acción de control, si el estado y la coordinación de incidentes son independientes y si la función comercial o pública puede degradarse de manera segura. Los shards agotados de Buildkite y la ruta de estado deteriorada de Postman no fueron causas del fallo de AWS; fueron multiplicadores de impacto controlados por el cliente. Los productos retrasados de NOAA, la ruta de presentación alternativa de la USPTO y la advertencia de asignación de la NASA muestran por qué el multiplicador debe evaluarse en términos operativos, no por recuento de servidores.

Ahora se puede responder a la prueba central. Los clientes pueden comprar resiliencia regional en AWS, pero una segunda región no es evidencia suficiente de la compra. El producto utilizable es una ruta de recuperación completa: ya aprovisionada, ya autorizada, ya observable, ya enrutable y ensayada sin el plano de control primario. Donde los controles globales o los internos del proveedor aún convergen en US-East-1, AWS debe eliminar la dependencia, aclarar su alternativa segura del plano de datos o declarar la limitación de manera clara.

La concentración en la nube a menudo se discute como cuota de mercado. La concentración más inmediata es la autoridad ejecutable: un plan, un endpoint, una respuesta de metadatos, una interpretación de salud o una dependencia de soporte que puede hacer que muchos sistemas redundantes se comporten de la misma manera. La rendición de cuentas comienza nombrando esa autoridad antes del próximo incidente, y luego demostrando que todavía existe una ruta separada cuando está equivocada.