Resumen
- La resiliencia institucional no puede inferirse únicamente del tiempo de actividad o las reservas; debe probarse en términos de autoridad legal, legitimidad de gobernanza, integridad de datos, finanzas, confianza criptográfica y dependencia de operadores.
- El conjunto central de escenarios debe combinar elecciones fallidas, insolvencia, sanciones e interrupción de pagos, ciberataques coordinados, migración del ancla de confianza RPKI y un aumento de transferencias disputadas o interregionales.
- Los ejercicios deben progresar desde pruebas de decisión documentadas hasta ensayos funcionales, servicio en sombra, failover controlado y simulación completa interinstitucional sin arriesgar el control de recursos en vivo.
- Las condiciones de aprobación deben medir la preservación de registros autoritativos, derechos de decisión legales, restauración de servicios, acceso de los titulares, equivalencia de seguridad de enrutamiento, capacidad de corrección, autogobierno regional y retorno seguro del control.
- Los operadores de emergencia deben recibir los poderes temporales mínimos necesarios para la continuidad, con prohibiciones explícitas de cambios de política, reasignación discrecional y retención indefinida de autoridad.
- Los operadores deben participar como validadores activos porque un registro puede creer que el servicio se ha restablecido mientras que las partes confiables, la automatización, los directorios y los sistemas de seguridad de enrutamiento aún observan un estado inconsistente.
- Los informes públicos deben divulgar supuestos, alcance probado, fallos, evidencia, propietarios de remediación y fechas de repetición de la prueba, protegiendo credenciales, registros personales y detalles de seguridad explotables.
- NRS puede convocar discusiones, recopilar cuentas de miembros autorizados y presentaciones, y publicar comparaciones respaldadas por fuentes de los resultados de ejercicios divulgados. No puede controlar el ejercicio, proporcionar autoridad de conformidad, mantener evidencia operativa protegida o reemplazar a los RIR, servicios de IANA, operadores de emergencia y revisores independientes responsables de la ejecución.
Una década es la unidad adecuada de seriedad
Un ejercicio anual es demasiado corto para exponer la pérdida de memoria institucional, la rotación de proveedores, el reemplazo criptográfico, el cambio de junta y la deriva legal. Diez años es tiempo suficiente para que el personal superior se vaya, los contratos expiren, los sistemas sean reemplazados, las disputas de política se repitan y la documentación de emergencia se vuelva obsoleta. También es lo suficientemente corto para asignar hitos, presupuestos y responsabilidad pública ahora.
El programa debe operar como una secuencia, no como diez repeticiones de la misma discusión de mesa. Los primeros años establecen inventarios, mapas de autoridad y objetivos de recuperación medibles. Los años intermedios prueban la sustitución funcional y la coordinación interregional. Los años posteriores combinan fallos y requieren que equipos independientes se recuperen de información incompleta o engañosa. Cada etapa debe incorporar lecciones de incidentes reales y cambios en la ley o los estándares.
El objetivo no es fabricar drama. Una prueba debe ser severa pero plausible. Las reglas electorales pueden producir resultados disputados. Las instituciones sin fines de lucro pueden enfrentar choques de ingresos, litigios o insolvencia. Las sanciones pueden restringir servicios, banca y contrapartes. Atacantes sofisticados pueden apuntar a los sistemas de identidad, autenticación, registro y publicación al mismo tiempo. Las claves del ancla de confianza eventualmente requieren migración porque el hardware y los algoritmos no duran para siempre. La escasez y la reestructuración corporativa pueden crear oleadas de transferencias.
Ninguna de estas condiciones es especulativa.
Elborrador revisado del Documento de Gobernanza del RIRdedica atención explícita a la continuidad de emergencia, un Operador de Emergencia, la transferencia y la revisión posterior al evento. Laevaluación preliminar de implementaciónde la NRO identifica la necesidad de arreglos técnicos, administrativos y legales para un Operador de Emergencia y una transferencia estable. Estos son compromisos institucionales importantes. Una prueba de estrés pregunta si pueden ejecutarse con inventarios, autoridades, personal, contratos, credenciales y plazos reales.
Definir el sistema antes de intentar romperlo
El sistema bajo prueba es más grande que cualquier registro individual. En su centro están los registros autoritativos que vinculan los recursos numéricos con los titulares reconocidos. Alrededor de ellos se encuentran la identidad de los miembros y titulares, contratos, facturación, revisión de transferencias, servicios de directorio público, DNS inverso, certificación y publicación RPKI, soporte de políticas, elecciones, manejo de disputas, evidencia de auditoría, comunicaciones y coordinación frente a IANA. Los operadores consumen el estado resultante a través de sistemas humanos y automatizados.
Cada institución participante debe comenzar con un mapa de servicios y autoridad. Para cada función crítica, el mapa identifica la fuente legal de autoridad, el propietario de la decisión, el propietario operativo, el almacén de datos, la dependencia de autenticación, el proveedor crítico, la institución aguas arriba y aguas abajo, la interrupción máxima tolerable, el intervalo aceptable de pérdida de datos y el sustituto autorizado. También debe identificar qué poderes no pueden delegarse bajo la ley actual o los documentos rectores.
El mapa debe distinguir la continuidad del servicio de la continuidad de la gobernanza. Un equipo de emergencia puede mantener un servicio RDAP en línea sin tener autoridad para aprobar transferencias. Puede preservar la publicación RPKI sin tener derecho a emitir nuevos certificados de recursos. Puede cobrar pagos de membresía sin poder cambiar la estructura de tarifas. Una prueba de estrés falla si el acceso técnico se confunde con poder legal.
El inventario debe clasificar las funciones en cuatro niveles de recuperación. El nivel uno contiene preservación de datos autoritativos, acceso de solo lectura a directorios, continuidad del repositorio RPKI, monitoreo de seguridad y comunicación de incidentes. El nivel dos contiene autenticación de titulares, corrección de registros, cambios urgentes de seguridad de enrutamiento y acciones protectoras ordenadas por un tribunal. El nivel tres contiene asignación rutinaria, transferencias, facturación y soporte de políticas. El nivel cuatro contiene eventos, capacitación, investigación y proyectos discrecionales.
Las instituciones locales pueden ajustar el orden, pero cada desviación debe tener una razón.
Esta priorización evita un error común en los ejercicios: declarar éxito porque los sitios web visibles regresan mientras que las funciones que establecen la autoridad permanecen no disponibles. También evita que los poderes de emergencia se expandan meramente porque los negocios ordinarios son inconvenientes. La continuidad es la preservación de derechos y registros esenciales bajo condiciones restringidas, no la recreación de cada servicio en el primer día.
El método de resolución necesita fases fijas
Cada escenario debe resolverse a través de seis fases observables. La primera es la detección: ¿cuándo supo la institución y qué evidencia cruzó el umbral? La segunda es la clasificación: ¿qué servicios, autoridades, poblaciones y dependencias externas están afectados? La tercera es la contención: ¿qué acciones preservan la evidencia y evitan cambios no autorizados? La cuarta es la continuidad: ¿qué acuerdo de servicio temporal se activa, por quién y bajo qué límites? La quinta es la recuperación: ¿cómo se reconcilian el estado autoritativo, el acceso del titular y los servicios dependientes?
La sexta es el retorno: ¿cómo termina la autoridad temporal y cómo se revisa la decisión?
Cada fase necesita un registro de decisión. El registro debe identificar la evidencia disponible en el momento, el tomador de decisiones autorizado, la base legal, la disidencia, los servicios afectados, la condición de vencimiento y el próximo punto de revisión. Los ejercicios deben eliminar deliberadamente a un tomador de decisiones esperado para probar la sucesión. También deben introducir evidencia contradictoria para que los participantes deban distinguir entre urgencia y certeza.
Las condiciones de aprobación deben escribirse antes de que se revelen los detalles del escenario. Incluyen el tiempo máximo para reconocer el evento, congelar cambios inseguros, establecer una instantánea autoritativa, notificar a las instituciones dependientes, activar un sustituto legal, restaurar servicios priorizados y reconciliar el estado aguas abajo. También incluyen condiciones cualitativas: ninguna asignación no autorizada, ninguna pérdida silenciosa de derechos de revisión, ningún uso de autoridad de emergencia para alterar políticas, ninguna destrucción de evidencia y ningún control temporal indefinido.
La resolución debe ser reversible cuando sea posible. Una restricción temporal puede levantarse. Un servicio de solo lectura puede volver al modo transaccional después de la reconciliación. Un operador de emergencia puede devolver la autoridad a una institución regional restaurada. Las acciones irreversibles, como la revocación de recursos o la destrucción del ancla de confianza, requieren una aprobación y evidencia más sólidas. Las pruebas deben penalizar las decisiones rápidas pero irreversibles que crean un daño mayor a largo plazo.
Escenario uno: una elección no produce autoridad legítima
El primer escenario comienza con una elección ordinaria de la junta. Los datos de elegibilidad se impugnan poco antes del cierre de la votación. Un proveedor informa que un error de configuración puede haber excluido a algunos miembros y permitido credenciales duplicadas para otros. El margen aparente es estrecho. El mandato de la junta saliente expira antes de que pueda finalizar una revisión independiente completa. Al mismo tiempo, la junta debe aprobar un presupuesto y nombrar firmantes para contratos críticos.
Este escenario prueba si la continuidad institucional depende de aceptar un resultado disputado. Los participantes deben determinar qué organismo puede preservar las operaciones, si la autoridad saliente continúa temporalmente, qué decisiones pueden diferirse, cómo se asegura la evidencia y cómo los miembros afectados obtienen revisión. La respuesta correcta variará según la ley aplicable y los estatutos. La prueba es si la respuesta se conoce, es legal y se contiene antes de que ocurra la disputa.
El éxito no significa producir un ganador rápidamente. Significa preservar la evidencia de la votación, evitar que las partes interesadas controlen la investigación, mantener solo la autoridad corporativa necesaria y completar un remedio creíble. La institución debe poder reemitir boletas o repetir una elección sin perder las operaciones del registro. Los directores o funcionarios temporales no deben tomar decisiones irreversibles sobre políticas, compensaciones ejecutivas o activos a menos que el retraso cause un daño demostrable.
El paquete de evidencia debe incluir la instantánea de elegibilidad, los recuentos de emisión de credenciales, las fallas de entrega, los denominadores de participación, la verificación independiente, el cronograma de impugnación, las decisiones tomadas durante el interín y el remedio final. Los votos personales permanecen en secreto. El resultado público debe revelar si cada clase elegible recibió el mismo trato y si el acuerdo de continuidad alteró el campo competitivo.
Una variante más difícil combina el fracaso electoral con desinformación. Circulan avisos falsos sobre fechas de votación y retiro de candidatos. La institución debe autenticar las comunicaciones sin otorgar a los titulares un control exclusivo de la narrativa. Los operadores y miembros deben poder verificar los avisos oficiales a través de más de un canal. El ejercicio prueba la legitimidad, no simplemente el software de votación.
Escenario dos: el fracaso financiero alcanza la autoridad operativa
El escenario de insolvencia no debe comenzar con una declaración limpia de que los fondos se han agotado. Debe comenzar con señales de deterioro: ingresos concentrados, pagos atrasados de miembros, gastos de litigio, pérdida de divisas, un proveedor que exige el pago por adelantado y un auditor que cuestiona la hipótesis de empresa en funcionamiento. La gerencia cree que una recuperación es posible. La junta teme que la divulgación acelere el fracaso.
Los participantes deben decidir cuándo el estrés financiero se convierte en un evento de continuidad, qué debe divulgarse y qué gastos reciben prioridad. La nómina para operaciones críticas, seguridad, seguros, instalaciones, custodia de datos, obligaciones legales y proveedores esenciales compite con los programas ordinarios. La prueba debe incluir una congelación de cuentas bancarias o la retirada del proveedor de pagos para que las reservas nominales no puedan gastarse automáticamente.
El NRO publica elFondo Conjunto de Estabilidad de los RIRcomo un compromiso colectivo de apoyo de emergencia. Su página actual registra promesas voluntarias de las reservas de los RIR, una solicitud formal documentada por la junta del RIR afectado, la aprobación unánime del Consejo Ejecutivo del NRO y contribuciones realizadas solo cuando es necesario más que un fondo mancomunado prefinanciado. Un ejercicio creíble debe probar las condiciones de acceso, el momento, la moneda, la gobernanza, los términos de reembolso o subvención, y qué evidencia necesitan otros RIR antes de liberar el apoyo. Un compromiso que requiere una solicitud formal de la junta puede llegar demasiado tarde si la institución afectada ya ha perdido la capacidad de hacer esa solicitud.
El escenario también debe probar los límites judiciales y de los acreedores. Los datos de registro, las claves criptográficas, los dominios, los equipos y las cuentas por cobrar pueden tratarse de manera diferente según la legislación local. Los participantes deben saber qué activos pueden transferirse, licenciarse o protegerse, y cuáles requieren aprobación judicial. Deben probar si un administrador de insolvencia entiende que los registros autoritativos de recursos numéricos no son un inventario vendible ordinario.
Las condiciones de aprobación incluyen la preservación ininterrumpida de los registros autoritativos, ninguna promesa o venta de control que exceda la autoridad institucional, la continuación de los servicios prioritarios, el uso documentado de las reservas, la activación de asistencia legal y una ruta creíble hacia la rehabilitación o la operación provisional. La confianza pública no puede depender de ocultar el problema hasta que se agote el efectivo.
Escenario tres: las sanciones fragmentan la ley, los pagos y los servicios
Las sanciones son una prueba de estrés particularmente útil porque combinan incertidumbre legal, riesgo de identidad, dependencia bancaria y presión política. Elinforme de sanciones del RIPE NCC del segundo trimestre de 2026explica que las sanciones aplicables de la UE pueden congelar cambios en el registro sin dar de baja los recursos o terminar la membresía, mientras que las restricciones de pago también pueden surgir del tratamiento de los bancos hacia otras listas de sanciones. Esa distinción entre registro, uso, servicio y pago es exactamente lo que un ejercicio debe preservar.
El escenario debe introducir una nueva designación que pueda aplicarse a un miembro a través del control indirecto. El cribado produce una posible coincidencia pero no una confirmada. Un banco rechaza los pagos de varios miembros no relacionados en la misma jurisdicción. Un tribunal de otro país ordena la continuación del servicio, mientras que un regulador del país donde está constituido el registro amenaza con sanciones. El titular afectado solicita un cambio urgente de autorización de origen de ruta después de un incidente de enrutamiento.
Los participantes deben separar los hechos de las interpretaciones legales. Deben establecer quién puede decidir que una coincidencia está confirmada, qué servicios se congelan, qué cambios de seguridad siguen siendo permisibles, cómo se corrigen los falsos positivos y cómo se trata a los miembros en situaciones similares. Deben registrar la hora efectiva de cada restricción y preservar una ruta para la revisión.
El ejercicio debe probar la información pública agregada sin exponer la identidad privada o el asesoramiento legal. También debe probar alternativas de pago que cumplan con la ley aplicable. Un miembro que no puede pagar porque el banco del registro rechaza una transacción legal no debe ser tratado automáticamente como un miembro moroso que elige no pagar. La institución necesita una distinción documentada y una forma de preservar la continuidad mientras se resuelve la incertidumbre.
Las condiciones de aprobación incluyen la escalada legal oportuna, ninguna baja no autorizada, un tratamiento definido de los cambios de seguridad urgentes, la corrección de falsos positivos basada en evidencia, restricciones consistentes y un retorno reversible al servicio ordinario. Una decisión políticamente popular que viole los deberes legales de la institución es un fracaso; también lo es la precaución legal que deja a los operadores incapaces de proteger el enrutamiento sin una revisión razonada.
Escenario cuatro: ciberataque coordinado contra la autoridad
El escenario cibernético debe apuntar a la confianza más que a la disponibilidad únicamente. Los atacantes comprometen una cuenta de soporte, alteran algunos registros de contacto de titulares, obtienen una sesión válida para un administrador y publican un aviso fabricado afirmando que los datos del registro han sido corruptos. Al mismo tiempo, el tráfico de denegación de servicio afecta las consultas de directorio y un punto de publicación RPKI. Existen copias de seguridad, pero su prueba de restauración más reciente no incluyó todos los servicios aguas abajo.
La institución debe determinar qué estado es autoritativo. Debe preservar registros, revocar accesos, congelar cambios de alto riesgo, establecer una instantánea confiable y comunicar la incertidumbre sin invitar a suposiciones inseguras. Un sitio web limpio no es el objetivo. El objetivo es una cadena defendible desde la evidencia hasta la autoridad restaurada.
Los ejercicios deben incluir variantes de riesgo interno y de proveedores. Un empleado privilegiado puede no estar disponible o ser sospechoso. Un proveedor de identidad puede estar comprometido. Un proveedor de nube puede restaurar la infraestructura pero no el orden preciso de eventos necesario para identificar cambios no autorizados. Los participantes deben verse obligados a usar evidencia independiente, como registros firmados, registros replicados, observaciones externas y confirmación del titular.
La respuesta técnica debe permanecer conectada a los derechos. Si todas las transferencias están congeladas, los titulares necesitan conocer la base, el plazo de revisión esperado y la ruta de excepción urgente. Si las credenciales se restablecen, las organizaciones con contactos que se han ido necesitan una ruta de recuperación sólida. Si los datos del directorio se restauran desde una instantánea anterior, las correcciones realizadas después de ese punto deben repetirse y verificarse en lugar de perderse silenciosamente.
Las condiciones de aprobación incluyen pérdida de datos acotada, identificación completa de registros cambiados, validación independiente de la instantánea restaurada, recuperación de servicios de nivel uno, reautenticación segura del titular, reconciliación del estado RPKI y del directorio, y un informe de incidente público después de que haya pasado el riesgo de seguridad inmediato. El ejercicio debe medir el percentil 95 del tiempo para que los titulares afectados recuperen el acceso seguro, no solo el momento en que los administradores pueden iniciar sesión.
Escenario cinco: migración de clave del ancla de confianza con adopción desigual
La continuidad criptográfica es institucional porque un registro no controla a todas las partes confiables.RFC 9691define un objeto de clave de ancla de confianza firmado que puede señalar una clave pública actual y sucesora y apoyar la transición planificada del ancla de confianza RPKI. Utiliza un período de aceptación para que las partes confiables puedan observar y validar la sucesora antes de cambiar. El estándar también reconoce que algunas partes confiables pueden no admitir la transición automática y pueden continuar usando información de confianza más antigua.
El escenario comienza con un reemplazo planificado de un módulo de seguridad de hardware. La clave privada antigua no se puede exportar al nuevo dispositivo. La institución ha preparado una clave sucesora, pero la medición muestra un soporte desigual entre las implementaciones de las partes confiables. Durante el período de aceptación, un anuncio de vulnerabilidad acorta la vida segura del dispositivo antiguo. Un incidente de servicio separado crea contenido de repositorio inconsistente para un pequeño subconjunto de validadores.
Los participantes deben decidir si continuar, pausar o reiniciar la migración. Necesitan evidencia de que las rutas de confianza antigua y nueva producen resultados validados equivalentes. Deben coordinarse con los mantenedores de software y los operadores sin permitir que mensajes no verificados se conviertan en una nueva raíz de confianza. Deben retener la clave antigua el tiempo suficiente para la continuidad mientras limitan la exposición del hardware vulnerable.
El ejercicio debe ejecutar validación real contra repositorios de prueba aislados y versiones representativas de partes confiables. Debe medir la adopción, la recuperación fallida, la validación inconsistente, los datos de confianza obsoletos y la respuesta del operador. Debe incluir una organización que deliberadamente fije material de confianza antiguo y otra que actualice solo a través de lanzamientos de software. El resultado no puede juzgarse únicamente desde el validador del propio registro.
Las condiciones de aprobación incluyen cobertura de recursos equivalente con ambas claves, aceptación exitosa por los validadores compatibles, una ruta documentada para la transición manual, notificación pública autenticada, reversión antes del retiro destructivo de la clave y un cronograma basado en evidencia para la eliminación de la clave antigua. La prueba debe fallar si alguna clase de operador significativa se vuelve ciega a un árbol de certificación regional completo sin detección.
Escenario seis: transferencia masiva después de un choque corporativo y de mercado
El escenario de transferencia comienza con la insolvencia de un gran grupo de infraestructura que posee recursos a través de muchas subsidiarias en varias regiones. Los tribunales autorizan ventas en diferentes jurisdicciones. Algunas transferencias son sucesiones corporativas, algunas son ventas de activos, algunas son impugnadas por acreedores y algunas involucran compradores que ya poseen un espacio de direcciones sustancial. Los corredores presentan documentos superpuestos. Una parte de los recursos tiene autorizaciones de origen de ruta activas y usuarios críticos del sector público.
El volumen resultante debe exceder la capacidad ordinaria durante varios meses. La prueba pregunta si las instituciones pueden escalar la revisión sin abandonar las comprobaciones de autoridad, favorecer a los solicitantes con más recursos o convertir una cola en una moratoria oculta. También prueba si los registros interregionales se reconcilian cuando una institución aprueba un paso y otra requiere evidencia adicional.
El escenario necesita un inventario sintético pero internamente consistente de entidades legales, bloques de recursos, contratos, órdenes judiciales, registros históricos, estado de certificación y observaciones de enrutamiento. Los equipos deben recibir documentos por etapas, incluyendo contradicciones que requieran escalada. Deben distinguir el control legal de una empresa de la autoridad para transferir un registro de recurso en particular.
La capacidad de emergencia no debe significar una revisión de identidad relajada. Las instituciones pueden crear triaje, verificación de documentos compartida, análisis estandarizado de órdenes judiciales y reglas de prioridad transparentes. Los cambios urgentes necesarios para proteger las redes activas pueden separarse de la transferencia final. Cada excepción debe registrarse, tener límite de tiempo y ser revisable.
Las condiciones de aprobación incluyen ninguna disposición duplicada, vinculación completa de los registros de origen y destino, preservación del estado impugnado, retraso final acotado, identificadores interregionales consistentes, reconciliación de certificación oportuna e informes de cola públicos. Los efectos de concentración deben medirse pero no utilizarse para inventar una prohibición de política durante el evento. Si la política permite una transferencia, el personal de emergencia no debe sustituir su propio juicio de mercado.
Escenario siete: la coordinación con IANA se vuelve incierta
La capa global de numeración tiene un conjunto de transacciones deliberadamente estrecho, y su rendimiento publicado es sólido. Losinformes de rendimiento de recursos numéricos de IANAmuestran acuse de recibo, respuesta, implementación y precisión contra los objetivos de servicio, así como la propagación y disponibilidad de DNS inverso. Ese historial hace que la coordinación con IANA sea un escenario de control adecuado: el rendimiento ordinario es medible, por lo que la desviación del mismo puede detectarse con precisión.
El escenario comienza con solicitudes contradictorias que parecen provenir de contactos autorizados del RIR durante un evento de continuidad regional. Una solicita un cambio de DNS inverso; otra pide a IANA que no actúe porque la autoridad está en disputa. Una tercera institución afirma que ha entrado en vigor un acuerdo de emergencia, pero el aviso de activación está incompleto. Al mismo tiempo, una interrupción de comunicaciones afecta un canal de verificación establecido.
El equipo de IANA debe preservar la neutralidad mientras decide qué evidencia es suficiente para reconocer, retener, rechazar o implementar una solicitud. La velocidad por sí sola no es éxito. Una instrucción implementada con precisión de un solicitante no autorizado sería un fracaso grave. Rechazar cada solicitud indefinidamente también transferiría el riesgo a la comunidad de numeración. Por lo tanto, la prueba necesita una escalera de verificación de autoridad preacordada, rutas de confirmación fuera de banda y un tratamiento definido de reclamos contradictorios.
Los participantes deben probar si los registros de contacto de emergencia están actualizados, si los cambios en esos registros requieren control dual, y si la base para reconocer una autoridad temporal puede auditarse posteriormente. Un servicio RIR sustituto no debe obtener autoridad frente a IANA simplemente porque tiene posesión técnica de datos copiados. Por el contrario, un organismo de emergencia designado formalmente no debe ser bloqueado porque un exfuncionario retenga acceso a un canal de contacto obsoleto.
El elemento de DNS inverso debe usar zonas sintéticas e infraestructura aislada. Los equipos deben medir la autenticación de la solicitud, el tiempo de decisión, la precisión de la implementación, la propagación y la reversión. El elemento de registro debe probar si el estado alocativo autoritativo permanece inequívoco entre IANA y todos los participantes del RIR después del evento. Ninguna asignación global viva o delegación necesita estar en peligro.
Las condiciones de aprobación incluyen la identificación correcta del solicitante autorizado, la preservación de la evidencia de reclamos contradictorios, el tiempo de retención acotado, ningún cambio de registro global no autorizado, la implementación precisa después de la resolución y el estado consistente aguas abajo. El informe público debe divulgar la ruta de autoridad probada y el cronograma mientras se ocultan los secretos de autenticación. Este escenario demuestra que la continuidad institucional se extiende a través de las fronteras en lugar de detenerse en la puerta de la oficina regional.
La prueba decisiva es un escenario compuesto
Probar cada conmoción por separado es necesario e insuficiente. En 2033 o 2034, el programa debe realizar un ejercicio compuesto en el que la legitimidad electoral esté en disputa, se incumpla un convenio financiero, una actualización de sanciones afecte a un titular importante, los atacantes aprovechen la confusión, una transición del ancla de confianza ya esté en marcha y un caso de transferencia masiva alcance un plazo judicial.
El escenario no debe simplemente agregar seis tareas independientes. Las dependencias deben forzar elecciones. Congelar todos los cambios ayuda a la contención cibernética pero puede impedir una corrección necesaria de clave o seguridad de enrutamiento. La divulgación pública puede proteger a los miembros pero empeorar una corrida bancaria. Liberar fondos de estabilidad puede requerir firmas de una junta en disputa. Activar un operador de emergencia puede preservar servicios pero desencadenar restricciones legales sobre el acceso transfronterizo a datos.
Extender la clave del ancla de confianza antigua puede ayudar a la compatibilidad pero aumentar la exposición de seguridad.
Los participantes deben recibir información incompleta en plazos realistas. Los controladores independientes pueden inyectar nueva evidencia basada en decisiones. Si un equipo no preserva los registros, la atribución posterior se vuelve imposible. Si emite una congelación legal demasiado amplia, el daño al operador aumenta. Si espera certeza, la restauración del servicio se ralentiza. El propósito es exponer compensaciones, no recompensar la decisión teatral.
Ninguna organización debe controlar toda la narrativa del ejercicio. Equipos separados deben representar al RIR afectado, otros RIR, servicios de numeración de IANA, un operador de emergencia, operadores, titulares de recursos, auditores y autoridades legales. NRS puede participar como observador de promoción o como representante de un miembro que lo haya autorizado expresamente. NRS no debe recibir credenciales operativas, derechos de decisión o custodia de evidencia protegida. Los límites de autoridad deben coincidir con arreglos plausibles.
Los observadores deben registrar no solo las decisiones sino también las solicitudes que quedaron sin respuesta y las suposiciones que nadie verificó.
El éxito significa preservar un estado legítimo mínimo: los registros autoritativos permanecen intactos, los cambios inseguros están contenidos, los servicios públicos críticos continúan, los derechos urgentes del titular pueden ejercerse, la certificación sigue siendo interpretable, los poderes temporales se mantienen limitados, la evidencia sobrevive y el control regional regresa cuando se cumplen los criterios de restauración. No significa que cada servicio rutinario cumpla con los objetivos normales.
Líneas base, inyecciones y control del ejercicio
Una prueba de estrés puede ser manipulada antes de comenzar seleccionando una línea base fácil. Por lo tanto, cada ejercicio compartido debe comenzar con una declaración de inventario firmada: recuentos de registros autoritativos, titulares activos, casos abiertos, certificados, objetos de directorio, cuentas privilegiadas, contratos críticos y dependencias de servicio. Los revisores independientes deben verificar muestras y registrar defectos conocidos. Los equipos no pueden entonces atribuir cada inconsistencia al escenario o excluir silenciosamente a una población incómoda.
Las inyecciones de escenario deben derivarse del riesgo documentado y las dependencias institucionales reales. Pueden incluir una orden judicial, aviso bancario, alerta de proveedor electoral, registro de seguridad, resultado de validador, queja de miembro o cambio de disponibilidad de personal. Cada inyección necesita un tiempo de emisión, rol de origen, clase de confiabilidad y consecuencia de evidencia prevista.
Los participantes pueden cuestionar la confiabilidad de una inyección, así como deberían cuestionar la evidencia incierta en un evento real, pero los controladores deben preservar la verdad fundamental necesaria para la evaluación posterior.
Los controladores no deben guiar a los equipos hacia un resultado de política preferido. Su trabajo es mantener hechos consistentes, aplicar consecuencias, medir decisiones y prevenir el contacto inseguro con sistemas en vivo. Un grupo de evaluación separado debe juzgar las condiciones de aprobación. Otro grupo protegido debe manejar cualquier material técnico confidencial. La separación reduce el riesgo de que quienes diseñaron el escenario declaren correctas sus propias suposiciones.
El reloj del ejercicio debe reflejar la función probada. Un escenario financiero o de sanciones puede comprimir semanas en horas mientras preserva el orden de decisión y los períodos de notificación. Una transición de ancla de confianza no puede simplemente comprimir el comportamiento de aceptación si la duración misma proporciona seguridad. Las pruebas funcionales pueden simular intervalos largos, pero el programa final también debe realizar al menos un ensayo extendido en tiempo real que exponga las transferencias entre turnos y regiones.
Cada comunicación debe capturarse a través de canales acordados. Las llamadas informales a menudo llevan contexto decisivo durante los incidentes, sin embargo, no dejan registro para la revisión. Los ejercicios deben requerir una breve nota de decisión después de las instrucciones orales y deben probar la falla del servicio de conferencia o mensajería primario. Los avisos públicos deben redactarse y autenticarse como si fueran reales, luego distribuirse solo dentro del entorno del ejercicio a menos que estén claramente etiquetados como pruebas.
Un ejercicio puede detenerse si arriesga servicios en vivo, datos protegidos o seguridad de los participantes. La autoridad y los criterios de detención deben definirse de antemano. Detenerse por seguridad no es un fracaso; crear riesgo evitable en vivo lo es. La evaluación aún debe registrar qué suposición de diseño causó la detención y requerir una repetición más segura.
Los métodos de ejercicio deben progresar más allá de la discusión
El primer método es la verificación de documentos. Los revisores independientes inspeccionan si las autoridades, inventarios, contactos, contratos, objetivos de recuperación y poderes de sustitución están actualizados y son mutuamente consistentes. Esto puede revelar contradicciones antes de cualquier simulación. Un documento que mencione a un exempleado o un proveedor vencido debe contar como un hallazgo, no como preparación completa.
El segundo método es la simulación de decisiones. Los líderes y el personal técnico reciben inyecciones cronometradas y deben producir registros de decisión reales, avisos, escaladas legales y prioridades de servicio. Los observadores comparan las decisiones con los documentos rectores y las condiciones de aprobación. Los participantes no deben recibir la respuesta esperada por adelantado.
El tercer método es el ensayo funcional en entornos aislados. Los equipos restauran instantáneas autoritativas, reconstruyen el acceso de identidad, reemiten certificados de prueba, reconcilian directorios y procesan transferencias sintéticas. Las salidas medidas provienen de sistemas y validadores independientes, no de autoinformes. Las credenciales y los datos deben ser sintéticos o estar fuertemente protegidos.
El cuarto método es el servicio en sombra. Un equipo sustituto recibe estado no productivo replicado e intenta proporcionar funciones definidas sin ayuda del equipo principal. Los resultados revelan conocimiento no documentado, dependencias propietarias y autoridad ambigua. La institución principal permanece en control de los servicios en vivo.
El quinto método es el failover controlado. Un servicio estrecho y reversible, como un conjunto de datos públicos de solo lectura o un repositorio RPKI de prueba, se cambia a un alternativo preparado bajo observación. Cualquier elemento en vivo requiere controles de cambio estrictos, aviso previo a los miembros cuando corresponda, reversión y aprobación explícita. Los ejercicios nunca deben crear riesgo innecesario para el control real de recursos.
El método final es una simulación interinstitucional con comunicaciones reales, temporización independiente y sistemas de operador representativos. Debe incluir condiciones nocturnas, de fin de semana y de múltiples zonas horarias. Los planes de recuperación que funcionan solo cuando cada especialista está disponible de inmediato no son resilientes.
Los operadores son validadores, no una audiencia
Las instituciones de registro pueden probar la restauración interna del servicio y aún así pasar por alto un fallo externo. Los operadores pueden almacenar en caché datos de directorio, ejecutar software diverso de partes confiables, automatizar cambios de certificados, depender de listas de permitidos o interpretar avisos de incidentes de manera diferente. Sus observaciones determinan si el estado restaurado es utilizable.
El programa debe reclutar operadores de diferentes tamaños, regiones y modelos técnicos. Los participantes deben incluir proveedores de acceso, redes de alojamiento, redes del sector público, redes de contenido, empresas y mantenedores de software de seguridad de enrutamiento. Su papel es validar resultados sintéticos, probar comunicaciones e informar consecuencias operativas. La participación no debe otorgar acceso a datos privados de titulares.
Las medidas de los operadores deben incluir el tiempo para autenticar un aviso oficial, el tiempo para recuperar el estado actual del directorio, la convergencia del validador, los resultados inconsistentes de validez de ruta, la automatización fallida, la intervención manual y la incertidumbre residual. Un servicio puede cumplir con un objetivo de disponibilidad interno mientras los operadores reciben resultados contradictorios. La convergencia externa es, por lo tanto, una condición de aprobación.
Los operadores también deben probar la moderación. Las comunicaciones de emergencia no deben alentar a las redes a rechazar rutas basadas en evidencia incierta o incompleta. La autoridad del registro sobre los registros no convierte a una institución en un controlador de enrutamiento universal. Los avisos deben describir el estado observado, la confianza, los servicios afectados y la verificación recomendada sin exagerar el mando.
La autoridad de emergencia debe ser estrecha y temporal
Un Operador de Emergencia necesita suficiente acceso y estatus legal para preservar los servicios esenciales. No debe heredar un mandato sin restricciones. El instrumento de activación debe enumerar las funciones permitidas, las acciones prohibidas, los límites de datos, la autoridad de gasto, los intervalos de revisión, las condiciones de vencimiento y los criterios de retorno.
Las acciones prohibidas normalmente deben incluir cambiar la política regional de recursos numéricos, reasignar recursos en disputa, alterar las reglas electorales, disponer de activos institucionales, usar datos de miembros para fines no relacionados y extender su propio nombramiento. Las excepciones deben requerir un organismo autorizado por separado y razones públicas. El organismo de emergencia no debe convertirse en juez de su necesidad continua.
El retorno de la autoridad merece tantas pruebas como la activación. La institución restaurada debe demostrar legitimidad de gobernanza, seguridad, integridad de datos, personal, capacidad financiera y control legal. El organismo de emergencia debe proporcionar registros completos y renunciar a las credenciales. La operación paralela puede ser necesaria para la reconciliación, pero la propiedad de la decisión debe ser inequívoca.
El énfasis del borrador del material de gobernanza en la revisión posterior a la emergencia es importante. Cada ejercicio debe usar la misma disciplina incluso cuando no ocurrió una emergencia real. El informe público debe identificar la duración, los servicios proporcionados, la autoridad ejercida, las excepciones, los derechos afectados, la decisión de retorno, los defectos no resueltos y las recomendaciones.
NRS puede convocar instituciones que pueden desconfiar unas de otras, ayudar a los miembros más pequeños a articular su experiencia y publicar investigaciones comparando las medidas y resultados públicos. No debe mantener activos de prueba, definir conformidad, mantener evidencia protegida, operar el ejercicio o controlar una transferencia de autoridad. Esas funciones pertenecen a los RIR participantes, servicios de IANA, operadores de emergencia calificados y revisores independientes. La legitimidad de NRS es más fuerte cuando su promoción hace que el poder sea más responsable sin adquirir ninguno de esos poderes.
Una puntuación debe preservar el fracaso, no ocultarlo
Una calificación única de resiliencia sería atractiva y engañosa. Las instituciones pueden ser fuertes en la recuperación técnica y débiles en la autoridad legal, o financieramente resilientes y criptográficamente frágiles. El resultado debe usar una tarjeta de puntuación multidimensional con condiciones de fracaso duras.
Las dimensiones son autoridad, gobernanza, finanzas, integridad de datos, contención de seguridad, continuidad del servicio, acceso del titular, equivalencia RPKI, convergencia externa, comunicación, reversibilidad y aprendizaje. Cada dimensión debe mostrar el objetivo, el resultado observado, la fuente de evidencia y la confianza. Los fracasos duros incluyen cambio de recurso no autorizado, pérdida de datos autoritativos, incapacidad para identificar un tomador de decisiones legal, poder de emergencia ilimitado, divergencia de certificación no detectada y falta de preservación de los derechos de revisión.
Las medidas de tiempo deben informar distribuciones. La recuperación del titular no puede representarse por el primer inicio de sesión exitoso. La recuperación de transferencias no puede representarse por un caso fácil. La convergencia del validador no puede representarse por la implementación de la propia institución. Los resultados de cola revelan quién soporta el costo del estrés institucional.
Los hallazgos deben clasificarse por consecuencia y recurrencia. Un defecto de documentación puede ser menor hasta que bloquee la autoridad de firma de emergencia. Una prueba fallida no es una derrota reputacional si produce una remediación oportuna y una repetición exitosa. Ocultar o reducir la prueba después del fallo es más grave que descubrir una debilidad.
La remediación y la repetición de la prueba son parte del resultado
Un informe de ejercicio sin remediación financiada es una observación, no una mejora de la resiliencia. Cada hallazgo material debe tener un propietario responsable, recursos aprobados, tratamiento de riesgo provisional, fecha objetivo y método de repetición. Si la gerencia acepta el riesgo, el organismo aprobador debe declarar por qué la exposición residual es tolerable y cuándo expira ese juicio. Los hallazgos críticos deben regresar a la junta directiva o al organismo rector equivalente en lugar de desaparecer en el mantenimiento técnico.
Las repeticiones deben reproducir la condición fallida lo suficientemente cerca para probar la corrección. Un nuevo documento no es suficiente cuando el fallo se refería a la restauración real. Una carta de garantía del proveedor no es suficiente cuando el fallo se refería a la sustitución entre proveedores. Un validador interno exitoso no es suficiente cuando los operadores observaron resultados RPKI divergentes. La evidencia debe coincidir con la condición de aprobación original.
El programa debe distinguir la contención inmediata, la corrección duradera y el aprendizaje sistémico. La contención inmediata reduce la exposición actual, como actualizar los contactos de emergencia o preservar una copia de seguridad adicional. La corrección duradera cambia la capacidad, como establecer una autoridad delegada legal o una ruta de restauración probada de forma independiente. El aprendizaje sistémico cambia las instituciones relacionadas o los estándares para que la misma debilidad no se repita en otro lugar.
El momento de la repetición debe reflejar la gravedad. Un fallo duro que involucre datos autoritativos, poder ilegal o divergencia criptográfica debe repetirse dentro de seis meses. Una debilidad importante de continuidad debe repetirse dentro de un año. Los hallazgos de menor gravedad pueden seguir el siguiente ejercicio anual, pero los elementos atrasados deben permanecer públicos. Las instituciones no deben esperar al próximo hito de la misma década.
El fallo repetido necesita escalada. Si dos repeticiones fallan por la misma causa subyacente, los revisores independientes deben examinar si el remedio declarado aborda la causa, si los recursos son adecuados y si los líderes tienen incentivos para retrasar. El apoyo colectivo puede ser apropiado, especialmente para capacidad criptográfica o legal especializada. La asistencia debe fortalecer a la institución regional afectada antes de considerar el reemplazo.
Las repeticiones exitosas no deben borrar los hallazgos originales. El registro de diez años debe mostrar descubrimiento, tratamiento provisional, corrección, evidencia y cierre. Este historial permite a los miembros distinguir las instituciones que aprenden de aquellas que simplemente rotan el lenguaje. También protege al personal que reporta debilidades: un registro de mejora transparente hace que el descubrimiento sea una señal de control efectivo en lugar de una razón para suprimir malas noticias.
Para 2036, la medida de éxito más persuasiva puede ser la tasa de cierre de hallazgos difíciles en varias instituciones. Esa medida captura la voluntad de financiar una resiliencia poco glamorosa, aceptar evidencia independiente y regresar después de un fallo inicial. Un primer ejercicio perfecto es menos creíble que un programa exigente que encuentra defectos reales y demuestra que fueron reparados.
La evidencia pública y el detalle protegido pueden coexistir
El informe público debe declarar los supuestos del escenario, los participantes por función, los servicios probados, el alcance excluido, las condiciones de aprobación, las decisiones, los resultados observados, los fallos, los derechos afectados, los propietarios de la remediación y las fechas de repetición. Debe incluir suficientes datos de tiempo y reconciliación para que terceros comprendan el resultado.
No debe publicar credenciales, registros personales, asesoramiento legal privilegiado, vulnerabilidades detalladas, claves privadas, arquitectura explotable o evidencia confidencial de miembros. Los auditores independientes pueden examinar esos materiales y emitir una declaración de aseguramiento limitada. Los hallazgos de seguridad pueden retrasarse hasta la remediación cuando la divulgación crearía un riesgo inmediato, pero la existencia y la gravedad del hallazgo no deben desaparecer.
La evidencia debe ser duradera. Los registros del ejercicio deben preservar instantáneas firmadas, registros de eventos, salidas de validadores, registros de decisiones, comunicaciones y revisiones bajo custodia controlada. Los informes públicos deben vincular a artefactos estables y con integridad verificada cuando sea seguro. Las repeticiones posteriores deben citar el hallazgo original y mostrar lo que cambió.
El público también debe ver el desacuerdo. Si los asesores legales, los operadores y los líderes institucionales interpretan una condición de aprobación de manera diferente, el informe debe explicar la divergencia y la decisión final. El teatro de consenso no es resiliencia. Las instituciones ganan confianza mostrando cómo se resolvió la evidencia impugnada.
El calendario de pruebas 2026-2036
2026:establecer la carta conjunta, los mapas de autoridad, los niveles de servicio, los términos compartidos, las condiciones de aprobación y las reglas de evidencia protegida. Publicar brechas a nivel institucional.
2027:probar disputas electorales, sucesión y comunicaciones en cada institución participante. Requerir revisión independiente de la boleta y la autoridad.
2028:probar dificultades financieras, interrupción bancaria, acceso al fondo de estabilidad y límites judiciales. Reconciliar supuestos de costo y liquidez de servicios básicos.
2029:probar sanciones, falsos positivos, barreras de pago, excepciones de seguridad urgentes y conflicto legal transfronterizo.
2030:realizar ejercicios funcionales cibernéticos coordinados, incluida la recuperación de instantáneas autoritativas, la reautenticación de titulares y la reconciliación aguas abajo.
2031:realizar pruebas planificadas de migración de ancla de confianza RPKI contra diversas implementaciones de partes confiables y rutas de transición manual.
2032:ejecutar una oleada de transferencias masivas con sucesión corporativa, insolvencia, casos interregionales y autoridad impugnada.
2033:operar servicios de continuidad en sombra y probar la preparación legal, administrativa y técnica de un Operador de Emergencia.
2034:realizar el primer escenario internacional compuesto con control independiente y operadores representativos.
2035:remediar, repetir fallos duros y repetir escenarios seleccionados con personal y proveedores no disponibles no anunciados.
2036:realizar un segundo escenario compuesto, comparar evidencia de diez años, revisar los arreglos de continuidad y establecer el próximo ciclo de pruebas.
Los ejercicios anuales a nivel institucional deben continuar entre los hitos. El calendario identifica el enfoque compartido, no el único trabajo de resiliencia. Los incidentes reales deben desencadenar repeticiones específicas. Los cambios materiales en el sistema, la ley, el proveedor o las claves no deben esperar al año programado.
Cómo se vería el éxito creíble
Para 2036, un miembro debería poder preguntar quién puede actuar cuando una junta está en disputa y recibir una respuesta precisa y legal. Un auditor debería poder rastrear cómo los fondos de emergencia apoyan los servicios básicos. Un titular sancionado o mal emparejado debería conservar una ruta de revisión documentada. Un operador debería poder validar una transición de ancla de confianza a través de más de un canal. Un proveedor de servicios sucesor debería poder restaurar funciones priorizadas a partir de inventarios probados sin heredar poder político.
Las instituciones también deben conocer sus límites irreductibles. Algunos conflictos judiciales no pueden resolverse mediante coordinación técnica. Algunas partes confiables seguirán siendo lentas en actualizarse. Algunos proveedores no pueden ser reemplazados de inmediato. Alguna evidencia confidencial no puede hacerse pública. La prueba de estrés no elimina la incertidumbre. Hace que la incertidumbre sea acotada, propia y visible.
El peor resultado sería una serie pulida de ejercicios en los que los escenarios nunca amenacen los derechos de decisión, los líderes superiores siempre estén disponibles, los equipos sustitutos reciban instrucciones perfectas y los informes declaren éxito sin validación externa. Eso probaría la presentación, no las instituciones.
El mejor resultado es más modesto y más exigente: evidencia repetida de que el sistema de registro puede degradarse de manera segura, preservar la autoridad, proteger los derechos urgentes, recuperar un estado técnico coherente y devolver el poder temporal. Los RIR siguen siendo responsables regionalmente. Los servicios de numeración de IANA permanecen estables y medibles. NRS contribuye con promoción, convocatoria, representación autorizada de miembros y comparación pública sin adquirir autoridad operativa. Los operadores validan lo que las instituciones no pueden ver desde dentro.
La legitimidad institucional a menudo se discute como consentimiento en tiempos normales. Su prueba más aguda es la moderación en tiempos anormales. Un cuerpo demuestra su idoneidad no solo actuando, sino sabiendo qué poderes le faltan, qué decisiones deben esperar, qué evidencia debe sobrevivir y cuándo debe devolverse el control. Una prueba de estrés de diez años haría que esas virtudes sean observables antes de que el sistema de registro de Internet tenga que aprenderlas en público bajo presión real.
Base de evidencia
- Elborrador del Documento de Gobernanza del RIR, versión 2proporciona el marco propuesto actual para la continuidad de emergencia, un Operador de Emergencia, la transferencia, la preparación y la revisión posterior al evento.
- Laevaluación preliminar de preparacióndel NRO identifica las necesidades de implementación para arreglos legales, técnicos y administrativos y la transferencia estable de servicios.
- Elresumen de la consulta sobre la gobernanza del RIRregistra preocupaciones sobre la priorización de servicios, los criterios de restauración, la autoridad de emergencia limitada y el retorno del control regional.
- ElFondo Conjunto de Estabilidad de los RIRproporciona el contexto existente de continuidad financiera colectiva.
- Losinformes de rendimiento de recursos numéricos de IANAproporcionan un modelo existente para medidas explícitas de etapa, tiempo, precisión y disponibilidad.
- RFC 9691define el mecanismo de clave de ancla de confianza RPKI para señalar claves actuales y sucesoras y apoyar la transición planificada del ancla de confianza.
- LaDeclaración de Prácticas de Certificación RPKI del RIPE NCCdescribe las prácticas actuales de certificación, cambio de clave y revocación.
- LaDeclaración de Prácticas de Certificación RPKI de APNICdocumenta la jerarquía de AC actual de APNIC, los procedimientos de compromiso y revocación de claves, las restricciones de transferencia HSM y las dependencias de la vida útil de la clave del ancla de confianza.
- ElInforme Trimestral de Transparencia de Sanciones del RIPE NCC para el segundo trimestre de 2026distingue congelaciones de registro, uso continuado, tratamiento de membresía, incertidumbre de identidad y efectos de pago.
- Lapágina de seguridad y cumplimiento RPKI del RIPE NCCproporciona el contexto actual de aseguramiento externo y revisión de seguridad.
- ElFAQ de NRSidentifica a NRS como una organización global de membresía sin fines de lucro que promueve, empodera y apoya a empresas, mientras que supágina de miembros de la reddescribe la promoción de miembros, la participación en políticas y la representación basada en poderes. Esas fuentes respaldan la participación de NRS como defensor o representante expresamente autorizado; no la convierten en un RIR, servicio de IANA, Operador de Emergencia, autoridad de conformidad o custodio de evidencia de ejercicio protegida.

