Resumen

  • La función de numeración IANA es más sólida cuando se trata como un servicio técnico contratable: mantener el estado de los niveles superiores de IPv4, IPv6 y ASN, procesar solicitudes RIR válidas según políticas, respaldar la delegación de padres de DNS inverso y publicar evidencia pública de que el registro global de números sigue siendo único.
  • La propiedad política es el marco equivocado. Ningún gobierno, ICANN, PTI, un Registro Regional de Internet ni NRS debe describirse como propietario de los números de Internet por el hecho de operar un servicio de registro. La autoridad defendible es más limitada: realizar tareas de coordinación específicas según estándares acordados y seguir siendo reemplazable si el servicio falla.
  • Un modelo compatible con la Sociedad de Recursos Numéricos puede ser positivo sin ser imprudente. NRS puede abogar por la portabilidad del titular, verificación abierta, pruebas de datos, auditabilidad y libertad del veto del operador establecido, preservando al mismo tiempo la unicidad global y etiquetando la autoridad reconocida por separado de la evidencia complementaria.
  • La arquitectura necesaria es contractual y probatoria: compromisos firmados del estado actual, conciliación con registros de asignación, prueba RDAP y DNS inverso, continuidad RPKI, registros de incidentes y correcciones, preparación del sucesor, pruebas de calificación transparentes y un proceso de reemplazo que proteja a los operadores del doble registro o del secuestro del servicio.

La falsa dicotomía en torno a IANA

El debate sobre IANA a menudo se polariza en una falsa dicotomía. Un lado trata a IANA como la corona pública restante de la gobernanza de Internet, un punto simbólico que debe ser políticamente poseído o defendido. El otro la trata como un escritorio técnico neutral cuyas cuestiones de poder circundantes se resuelven con buenas prácticas de ingeniería. Ninguna de las descripciones es suficiente para los recursos numéricos.

La función de numeración no es territorio soberano. No posee cada dirección, licencia a cada operador ni gobierna cada ruta. Pero tampoco es una ocurrencia administrativa tardía. El registro de nivel superior de las delegaciones de IPv4, IPv6 y números de sistemas autónomos proporciona al sistema de registros un punto de partida común. La delegación de padres de DNS inverso, los datos de arranque RDAP, las suposiciones de la jerarquía RPKI y el reconocimiento de políticas globales dependen, directa o indirectamente, de una cuenta estable de qué registro es autoritativo para qué recursos.

El marco correcto es el servicio contratable. Una función IANA contratable tiene clientes nombrados, deberes nombrados, expectativas de servicio medibles, evidencia de desempeño, obligaciones de seguridad y continuidad, portabilidad de datos, resolución de disputas y reglas de reemplazo. Es política solo en el sentido de que las instituciones deben decidir quién puede realizar el servicio y bajo qué términos de rendición de cuentas. Su legitimidad cotidiana debe basarse en el desempeño y la prueba, no en la retórica de propiedad.

Esta distinción es importante para cualquier futuro compatible con la Sociedad de Recursos Numéricos. El mejor argumento positivo de NRS no es que pueda declarar una nueva autoridad política sobre los números. Es que la coordinación de los recursos numéricos debe ser portable, verificable y lo suficientemente abierta como para que ningún proveedor de servicios establecido pueda convertir la dependencia técnica en un veto institucional permanente. Ese argumento tiene éxito solo si la unicidad global se preserva de manera más rigurosa, no menos.

Qué es contratable

La parte contratable de la numeración IANA es la realización de un servicio definido. Incluye mantener los registros de nivel superior para recursos IPv4, IPv6 y ASN no asignados o delegados; procesar solicitudes que satisfagan la política global; registrar devoluciones o reasignaciones en el nivel superior; respaldar las delegaciones superiores de DNS inverso; mantener los registros públicos relevantes; y compartir evidencia operativa con las partes que dependen del servicio.

El SLA actual de Servicios de Numeración IANA ya demuestra que dicho servicio puede reducirse a deberes legales. Identifica a ICANN como operador, a los cinco RIR como partes, el manejo de solicitudes válidas, la presentación de informes de rendimiento, las obligaciones de seguridad, la resolución de disputas, la no renovación, la terminación y los arreglos de sucesión. No es perfecto. Su vía de remedio visible puede ser lenta, y las fallas métricas ordinarias no se convierten automáticamente en planes de cura pública.

Pero la existencia del acuerdo refuta la idea de que la numeración IANA debe gobernarse solo mediante la confianza institucional.

El siguiente paso es hacer que el contrato sea más nativo de datos. Una métrica de tiempo indica si una solicitud fue reconocida o implementada dentro de un período. Una métrica de prueba de datos indica si el estado resultante puede reconstruirse de forma independiente. ¿Cambió el registro de nivel superior de un estado exacto a otro? ¿El cambio estuvo vinculado a una solicitud válida según la política? ¿Se archivó el estado anterior? ¿Se actualizaron todos los registros públicos dependientes? ¿Puede un tercero detectar si se presentaron dos historias inconsistentes?

Aquí es donde el pensamiento compatible con NRS puede ayudar. NRS enfatiza la contabilidad precisa y el poder limitado del registro. Esa filosofía debería conducir a un contrato de servicio donde el poder del operador esté limitado por la evidencia pública. La función no se debilita cuando la prueba mejora. Se vuelve menos dependiente de la confianza personal y la reputación del operador establecido.

La unicidad global es una propiedad de datos antes que una afirmación política

El Sistema de Registro de Números de Internet descrito en RFC 7020 existe para distribuir espacio de direcciones IP y números AS globalmente únicos. La unicidad es la promesa operativa central. Significa que dos partes no relacionadas no deben recibir el mismo recurso actual de dos autoridades que ambas afirman ser definitivas. También significa que los cambios históricos deben poder reconstruirse lo suficiente para explicar por qué el estado actual es lo que es.

Esa promesa puede expresarse como una propiedad de datos. En un momento dado, un rango de recursos tiene un estado de nivel superior en el registro autoritativo: no asignado, reservado, delegado a un registro, devuelto o marcado de otra manera bajo una categoría definida. Un estado posterior debe extender o reemplazar el estado anterior mediante un cambio registrado. Cada cambio debe identificar su autoridad de origen, clase de razón, tiempo efectivo, rango afectado y efectos de dependencia.

El lenguaje de propiedad política oscurece esto. Si un gobierno reclama propiedad, la cuestión se convierte en la legitimidad del gobierno. Si ICANN o un RIR es tratado como propietario, el proveedor de servicios se vuelve más difícil de reemplazar. Si NRS reclama propiedad, repite el error que critica. Ninguno de esos movimientos mejora la unicidad. La cuestión práctica es si todas las partes interesadas pueden verificar el mismo estado actual y si cualquier desviación puede detectarse rápidamente.

La prueba de datos no puede resolver todas las disputas. Un registro firmado puede mostrar que se tomó una decisión, no que la decisión fuera justa, legal o comercialmente prudente. Un compromiso hash puede mostrar que un documento existía antes de un tiempo, no que el firmante tuviera autoridad. Un informe de conciliación puede mostrar que no hay superposición en el libro mayor público de nivel superior, no que cada registro regional miembro sea perfecto. Pero esas proposiciones limitadas siguen siendo valiosas. Reducen el desacuerdo y hacen que las afirmaciones institucionales sean comprobables.

Por lo tanto, una función IANA contratable debe tratar la unicidad como un estado continuamente probado. El operador del servicio no debe limitarse a decir que el registro es correcto. Debe publicar suficiente evidencia estructurada para que auditores calificados, RIR, investigadores independientes de interés público, defensores de la portabilidad y operadores de red puedan detectar inconsistencias sin exponer material confidencial.

El cliente del servicio es más amplio que la parte contratante

El contrato actual de numeración IANA es entre ICANN y los cinco RIR. Eso tiene sentido porque los RIR son los clientes directos de las asignaciones de numeración de nivel superior y la coordinación de DNS inverso. Presentan solicitudes, reembolsan costos y supervisan el rendimiento a través de la estructura NRO. Un contrato necesita contrapartes, y los RIR son los clientes legales obvios.

La dependencia operativa es más amplia. Un proveedor de nube que decide si aceptar BYOIP depende del registro de direcciones. Un banco que evalúa garantías IPv4 depende del reconocimiento de transferencias. Un operador de red que valida rutas depende de la confianza RPKI. Una agencia pública que adquiere conectividad depende de la evidencia RDAP y DNS inverso. Un titular que intenta mover el servicio después de una falla del registro depende de la portabilidad de datos. Estos actores pueden no tener un reclamo directo bajo el SLA de IANA, pero soportan el costo cuando la coordinación de nivel superior es opaca o cautiva.

Un diseño compatible con NRS debería preservar a los RIR como partes contratantes necesarias mientras agrega derechos de confianza pública a través de la evidencia. Eso no requiere que cada operador demande al operador de IANA. Requiere registros verificables, avisos públicos de incidentes, resúmenes de auditoría independientes, recibos legibles para el titular y estándares de calificación abiertos para cualquier servicio que afirme respaldar la continuidad.

La distinción entre cliente legal y parte interesada operativa es común en infraestructuras críticas. Una cámara de compensación puede contratar con miembros mientras los inversores dependen de la finalización de la liquidación. Una autoridad de certificación puede contratar con suscriptores mientras los navegadores y usuarios dependen de la validación. Un registro puede contratar con registradores mientras los titulares y resolutores dependen del estado resultante. La ley no siempre otorga a cada parte interesada un recurso directo, por lo que la capa de evidencia se vuelve más importante.

NRS puede ser útil en esta capa. Puede abogar por recibos para titulares, observación independiente, paquetes de portabilidad y prueba de continuidad que hagan que la dependencia sea menos ciega. No debe usar la dependencia como un atajo hacia la autoridad. La afirmación más segura es que una dependencia más amplia merece una verificación más amplia, no un mando político más amplio.

Un SLA técnico debe medir más que el tiempo de respuesta

Las promesas de tiempo del SLA actual son necesarias. Una solicitud válida debe ser reconocida, se debe solicitar información adicional dentro de un período definido y la implementación ordinaria debe ocurrir dentro de un período definido después del punto de partida relevante. Si el operador no puede o no quiere cumplir una solicitud dentro de un período más largo, debe explicar el estado y las razones. Estas obligaciones evitan que el servicio desaparezca en el silencio.

Para un modelo contratable futuro, el tiempo debe ser solo la capa externa. El nivel de servicio real es la integridad de la transición de estado. Un buen SLA mediría la aceptación de solicitudes, las razones de rechazo, la latencia de implementación, la consistencia del estado del registro, la publicación de compromisos de estado anterior y nuevo, la propagación de DNS inverso, la alineación de la actualización del arranque RDAP, los efectos de confianza RPKI, la divulgación de incidentes, la latencia de corrección y la preparación de exportación del sucesor.

También distinguiría la gravedad. Un reconocimiento tardío no es lo mismo que una asignación duplicada. Una entrada de arranque RDAP desactualizada no es lo mismo que una clave de firma comprometida. Un retraso en el DNS inverso no es lo mismo que una pérdida del historial de registro autoritativo. Un SLA maduro debe tener clases de incidentes, explicación requerida, período de cura, resumen público y desencadenante de escalada para cada clase.

Esto no es burocracia por sí misma. Sin clases de gravedad, los remedios más fuertes son demasiado fuertes y las métricas ordinarias demasiado débiles. La terminación no es una respuesta sensata a cada fallo. El silencio no es una respuesta sensata a fallos repetidos o inexplicables. Los remedios intermedios hacen creíble el reemplazo porque crean un rastro: advertencia, clasificación pública, plan de corrección, verificación independiente, fallo repetido y luego acción del sucesor.

La reforma compatible con NRS debe insistir en esta capa intermedia. Un servicio de registro futuro no puede ser responsable si las únicas opciones son la confianza institucional o la muerte institucional. La responsabilidad contractual vive entre ellas.

Las pruebas de datos deben integrarse en el servicio

El servicio de numeración de nivel superior debe publicar compromisos estructurados de su estado actual. Un compromiso no es un volcado de datos completo. Puede ser una declaración firmada que vincule un archivo de estado particular, hora, conjunto de cambios y clave del operador. Partes independientes pueden confirmar más tarde si el estado que recibieron coincide con el registro comprometido. Si aparecen dos compromisos incompatibles para la misma hora o secuencia, la equivocación se vuelve visible.

El conjunto de pruebas debe incluir varias capas. Primero, un archivo de estado actual firmado que cubra las delegaciones, reservas y devoluciones de nivel superior de IPv4, IPv6 y ASN. Segundo, un registro de cambios firmado que vincule cada nuevo estado con un estado anterior y con una clase de razón. Tercero, un informe de conciliación que compare las entradas de arranque RDAP, las delegaciones de padres de DNS inverso y los registros de asignación públicos de IANA. Cuarto, un paquete de exportación suficiente para que un sucesor reconstruya el servicio sin pedirle al operador establecido que explique su propia historia de memoria.

La privacidad y los límites de seguridad importan. No todos los documentos de solicitud, intercambios de personal o detalles de autenticación deben ser públicos. Una prueba puede comprometerse con material protegido sin exponerlo. Una entrada pública podría decir que una solicitud válida según la política, autenticada por un rol RIR nombrado, respaldó un cambio y que el registro de solicitud protegido se mantiene bajo reglas de acceso definidas. Los revisores podrían inspeccionar el material si surge una disputa.

El resultado es una confianza limitada. Los operadores no necesitan confiar en que cada conversación interna fue perfecta. Necesitan la confianza de que el estado público tiene una historia, que los cambios son atribuibles, que existe evidencia protegida, que los auditores pueden inspeccionarla y que un sucesor puede usarla. Este es el mismo espíritu detrás de los manifiestos RPKI, la sincronización de repositorios y los registros de transparencia: probar lo que se puede probar, etiquetar lo que sigue siendo juicio y mantener suficiente evidencia para la corrección.

NRS debe abogar por esta disciplina de prueba porque se alinea con el principio de contable en su defensa pública. Un mejor contable no reclama autoridad mística. Mantiene registros que sobreviven a una auditoría.

RPKI muestra la importancia de la confianza aceptada, no de la autoridad autodeclarada

RPKI ofrece una dura lección para cualquier modelo de numeración futuro. Los certificados y objetos firmados pueden hacer que la autorización de origen de ruta sea más verificable, pero su autoridad depende de anclas de confianza aceptadas y la delegación de recursos. RFC 6480 describe una jerarquía enraizada en IANA y que se extiende a través de los RIR y niveles inferiores. Una firma fuera de la cadena aceptada puede ser técnicamente correcta e ignorada operativamente.

Para IANA, esto significa que la continuidad de las anclas de confianza es un problema de servicio. Si la autoridad de recursos de nivel superior o las claves de apoyo cambian, las partes interesadas deben recibir información clara, escalonada y autenticada. El modelo de Localizador de Anclas de Confianza de RFC 8630 y el trabajo posterior sobre claves de ancla de confianza muestran que el arranque y la transición de claves son tanto problemas de gobernanza como de formato de archivo. Las partes interesadas necesitan tiempo, coexistencia, múltiples ubicaciones de recuperación y la confianza de que una clave sucesora no es un impostor.

Para NRS, el mismo punto es un límite. NRS puede publicar análisis respaldados por fuentes de las preocupaciones de los titulares y abogar por que los proveedores de servicios autorizados emitan registros de continuidad claramente etiquetados. No es una autoridad de certificación, custodio de claves, registro o servicio de recibos operativos, y sus declaraciones no establecen el estado de registro autoritativo de un titular. Los operadores deben saber si una firma de un emisor autorizado prueba la membresía, la afirmación del titular, la revisión independiente, el recibo de registro reconocido o la delegación de nivel superior.

Cada proposición necesita una etiqueta de confianza diferente.

Por lo tanto, una función IANA contratable debe separar las clases de confianza. El estado de registro autoritativo de nivel superior debe provenir del operador IANA aceptado o su sucesor bajo el contrato. La evidencia de portabilidad complementaria debe provenir de un proveedor de aseguramiento apropiadamente autorizado y revisado independientemente; NRS puede comparar o criticar dichos servicios como defensor, pero no emite evidencia operativa confiable. La validez de origen de ruta RPKI puede provenir de la cadena de certificados aceptada. El derecho legal puede requerir contratos, registros judiciales o decisiones de registros regionales.

Mezclar estas etiquetas crea confusión y riesgo.

El futuro positivo no es una raíz para gobernar cada reclamo. Es un entorno de evidencia interoperable donde cada raíz prueba algo limitado y donde el reemplazo de un proveedor de servicios no destruye la prueba histórica.

RDAP y DNS inverso exponen cadenas de dependencia

El arranque RDAP y el DNS inverso muestran por qué IANA no puede reducirse a una tabla de asignación de direcciones. RFC 9224 describe los registros de arranque RDAP generados a partir de datos de asignación IANA con información de servicio RDAP. El propósito es dirigir a los usuarios a datos de registro autoritativos en lugar de fuentes no autorizadas. RFC 3172 describe la delegación de in-addr.arpa e ip6.arpa a través de IANA y los registros regionales. Estas son cadenas de dependencia construidas sobre el reconocimiento de nivel superior.

Si el operador IANA o un sucesor maneja mal estas cadenas, el daño es práctico. Las herramientas de consulta apuntan al servicio incorrecto. Los escritorios de abuso encuentran registros desactualizados. Las comprobaciones de adquisición fallan. La identidad inversa permanece vinculada a una delegación antigua. RPKI y RDAP pueden estar en desacuerdo de maneras que confundan a las partes interesadas. Un titular que intenta mudarse después de una falla del registro enfrenta un registro público que no viaja.

Por lo tanto, el contrato debe exigir coherencia en todas las superficies dependientes. Un cambio de asignación de nivel superior debe desencadenar una verificación contra el estado de arranque RDAP. Un cambio de delegación de padres de DNS inverso debe tener una fuente registrada y un informe de propagación. Un reemplazo de servicio de registro debe incluir un plan para puntos finales públicos, cachés, seriales, certificados y aviso a los mantenedores de herramientas. Una disputa debe marcarse sin hacer que el estado sea ilegible.

Aquí es donde puede esconderse el veto del operador establecido. Un registro o proveedor de servicios establecido puede argumentar que solo él entiende las superficies dependientes y que el reemplazo pondría en peligro la continuidad. A veces esa advertencia es cierta. A veces es una posición de negociación. Las pruebas de datos y los paquetes de exportación ensayados ayudan a distinguir las dos. Si las dependencias están documentadas y probadas, el riesgo de continuidad se vuelve manejable. Si las dependencias son privadas y basadas en la personalidad, el operador establecido se vuelve irreemplazable por diseño.

Un enfoque compatible con NRS debe ser pro-continuidad en lugar de anti-establecido. No debe exigir el reemplazo por sí mismo. Debe exigir que ningún operador establecido pueda hacer imposible el reemplazo reteniendo evidencia, formatos, claves, estado histórico o mapas de servicio.

El reemplazo es un procedimiento, no una amenaza

La palabra "reemplazo" puede sonar desestabilizadora. Para la numeración IANA, debe significar lo contrario: un camino probado que permite que el servicio continúe si el operador actual falla materialmente, pierde autoridad, no puede desempeñarse o no se renueva. La existencia de un camino de reemplazo disciplina al operador establecido precisamente porque reduce el pánico.

Un procedimiento creíble comienza mucho antes del fallo. Define estándares de calificación para un sucesor: capacidad técnica, neutralidad, resiliencia financiera, controles de seguridad, informes públicos, custodia de datos, gestión de claves, reglas de conflicto, auditoría, capacidad lingüística y ejercicios de continuidad. Requiere que el operador establecido mantenga un estado exportable y proporcione cooperación. Define quién puede desencadenar una evaluación, quién puede aprobar un sucesor, cómo se marcan las disputas y cómo se notifica a los operadores.

El procedimiento también debe proteger la unicidad durante la transición. Debe haber un período de congelación o cambio controlado para cierto estado de nivel superior. Debe haber conciliación entre los registros del operador establecido y el sucesor. Debe haber un momento de corte público, compromisos de estado anterior y nuevo, reglas de reversión de emergencia y un método para manejar las solicitudes ya en proceso. Ningún titular debe poder explotar la transición presentando un registro a un servicio y otro registro en otro lugar.

El reemplazo no debe depender del permiso del operador establecido en el momento final. El operador establecido debe tener debido proceso, oportunidad de corregir y un papel en la transición. No debe tener veto después de que se cumplan las condiciones definidas de fallo o no renovación. De lo contrario, el derecho de reemplazo se convierte en teatro.

Este principio es central para la tesis compatible con NRS. Los operadores establecidos pueden ser excelentes. Pueden tener experiencia legítima. Deben ser escuchados. No deben poder convertir la memoria operativa en propiedad política permanente. El servicio pertenece al requisito común de unicidad, no a la oficina que actualmente lo realiza.

El lenguaje de soberanía crea los remedios equivocados

Los recursos numéricos cruzan fronteras, pero eso no los convierte en territorio soberano. Los gobiernos tienen autoridad legal sobre empresas, contratos, impuestos, sanciones, fraude, licencias de telecomunicaciones, insolvencia y seguridad pública dentro de sus jurisdicciones. Esos hechos pueden afectar la evidencia del registro. No significan que un estado posea un prefijo simplemente porque un titular reside allí o un registro está constituido allí.

El lenguaje de soberanía crea remedios contundentes. Si se dice que un estado posee el recurso, el registro se convierte en un instrumento diplomático. Si se dice que una corporación global lo posee, la gobernanza privada se endurece en cuasi-soberanía. Si se dice que un registro regional lo posee, el servicio al miembro se convierte en control territorial. Si NRS reclama propiedad en respuesta, el conflicto simplemente cambia de banderas.

El mejor remedio es el contrato y la evidencia. Una orden judicial puede registrarse como un hecho legal con un efecto definido. Una lista de sanciones puede procesarse a través de una clasificación de servicio y una ruta de notificación. Un regulador puede exigir que un operador nacional actúe sin reescribir el libro mayor global de nivel superior. Un registro puede marcar una disputa sin reasignar recursos prematuramente. Un sucesor puede continuar el servicio sin reclamar control político.

Este enfoque respeta la autoridad pública donde corresponde y evita que se trague la coordinación técnica. También protege a los operadores. Necesitan registros predecibles, no teatro de soberanía. Un banco que financia activos IPv4, una nube que acepta un objeto de ruta, una agencia pública que depende de un servicio o un pequeño ISP que transfiere recursos necesita saber qué institución registrará un cambio y por qué. No se beneficia de grandes afirmaciones sobre quién posee Internet.

La filosofía más fuerte de NRS es la insistencia en que los organismos de recursos numéricos son contables, no gobernantes. El modelo IANA contratable operacionaliza esa filosofía en la cima: mantener el libro preciso, probarlo, hacer que el guardián sea reemplazable y dejar la autoridad política ordinaria fuera del servicio de registro.

Sin veto del operador establecido significa calificación objetiva

Eliminar el veto del operador establecido no significa permitir que cualquier nuevo participante reclame autoridad. Significa separar la calificación del consentimiento de las instituciones cuya posición de mercado se vería amenazada. Cualquier futuro proveedor de servicios debe pasar pruebas objetivas antes de recibir responsabilidad reconocida a través del proceso institucional competente. NRS no es tal proveedor: su papel es abogar por criterios justos, contribuir con evidencia de miembros respaldada por fuentes y escrutar si el proceso protege a los titulares.

Esas pruebas deben ser públicas. ¿Puede el candidato mantener puntos finales de servicio accesibles globalmente? ¿Puede proteger claves? ¿Puede procesar solicitudes de nivel superior bajo política global sin inventar política? ¿Puede publicar compromisos de estado firmados y recibos de evidencia protegidos? ¿Puede realizar ejercicios de arranque RDAP y conciliación de DNS inverso? ¿Puede preservar la confidencialidad? ¿Puede gestionar conflictos? ¿Puede sobrevivir al estrés de financiación? ¿Puede someterse a una revisión independiente? ¿Puede exportar datos a otro sucesor?

Los operadores establecidos deben contribuir a la prueba porque entienden los modos de fallo. Su evidencia debe ser utilizada. Su oposición no debe ser determinante. Un régimen de calificación controlado por los operadores establecidos se convierte en una constitución de cartel. Un régimen de calificación que ignora el conocimiento del operador establecido se vuelve inseguro. La respuesta es una evaluación independiente basada en criterios acordados antes de una crisis.

El NRO, ICANN, los expertos técnicos adyacentes al IETF, los operadores, titulares, auditores y defensores de la portabilidad pueden contribuir con criterios. NRS puede contribuir con la visión de portabilidad del titular y anti-captura. La regla final debe ser neutral al servicio: quien pueda cumplir con los estándares de prueba, continuidad y responsabilidad puede ser considerado; quien no pueda, no debe recibir reconocimiento.

Este es el significado práctico de una función contratable. La autoridad sigue las obligaciones de servicio probadas y la evidencia aceptada, no la personalidad, la historia o el veto.

El papel de NRS es la defensa, no el reemplazo

Un artículo positivo compatible con NRS no debe pretender que NRS opera el servicio de numeración IANA, un registro, un servicio de aseguramiento o un ancla de confianza global aceptada. Sus materiales públicos actuales son declaraciones de defensa, estatutos y términos de membresía. Establecen una filosofía y una superficie de representación de miembros. No establecen una adopción amplia por parte de operadores, delegación IANA, aceptación de raíz RPKI, autoridad de certificación o autoridad de registro global.

Esa limitación no hace que NRS sea irrelevante. Identifica un papel duradero: abogar por estándares de evidencia portátiles, investigar cómo los sistemas existentes afectan a los titulares, convocar a redes afectadas y representar a los miembros en los procesos de políticas públicas. NRS puede publicar comparaciones respaldadas por fuentes de propuestas de continuidad, explicar qué recibos y derechos de revisión deberían exigir los titulares, y presionar a los operadores autorizados y revisores independientes para que revelen si sus registros sobreviven a una auditoría.

La emisión de recibos operativos, la protección de claves de continuidad, la custodia de evidencia del titular y el mantenimiento del historial de registro pertenecen a instituciones que tienen el mandato, los controles y la responsabilidad relevantes.

NRS puede apoyar a los titulares en disputas, transferencias o planificación de continuidad a través de orientación pública, representación de miembros y derivaciones a asesores competentes, en lugar de empaquetar evidencia autoritativa o declarar resultados. Un titular puede necesitar historial firmado, evidencia de sucesión corporativa, recibos de registro, estado RPKI, referencias RDAP, registros de DNS inverso y notas de disputa, pero esos materiales deben obtenerse y verificarse de los registros, tribunales, registros corporativos y operadores técnicos autorizados correspondientes.

NRS puede documentar problemas recurrentes de acceso y abogar por remedios sin convertirse en la autoridad que valida el paquete.

Ningún camino escalonado debe difuminar esta división. Los servicios de evidencia, anclas de confianza, funciones IANA y operaciones de registro requieren sus propios mandatos institucionales y no pueden deducirse de la calidad de la investigación o las prácticas de membresía de una organización de defensa. NRS puede pedir a esos operadores que expliquen decisiones, preserven evidencia, apoyen la revisión y exporten estado, pero esa defensa no convierte a NRS en un operador candidato.

Por lo tanto, el caso positivo para NRS es cívico más que operativo. Su contribución es mantener visibles los intereses de los titulares, publicar investigaciones defendibles, comparar el rendimiento institucional y presionar a los organismos autorizados para que actúen con moderación, prueba e interoperabilidad. El reconocimiento de cualquier proveedor de servicios técnicos debe ocurrir por separado a través de las instituciones competentes para conferir ese papel.

El contrato debe proteger tanto a los titulares como a los registros

El SLA de numeración actual está construido en torno a los clientes RIR, lo cual es lógico para las asignaciones de nivel superior. Un modelo de responsabilidad futuro debe agregar protecciones orientadas al titular sin convertir a cada titular en una parte contratante. El contrato puede exigir que el operador y el sucesor preserven la evidencia que los titulares necesitan: estado histórico de nivel superior, marcadores de reconocimiento de transferencia, anotaciones de disputas, historial de delegación de DNS inverso, información de continuidad RPKI y explicaciones públicas de correcciones.

Las protecciones del titular importan porque los fallos del servicio de registro no se detienen en los límites institucionales. Si un RIR u operador de nivel superior no puede probar la continuidad, un titular puede perder aceptación en la nube, valor de préstamo, certeza de transferencia, confianza en el origen de ruta o elegibilidad en el sector público. Al titular puede no importarle qué institución falló; le importa que su historial de recursos aún pueda verificarse.

Por lo tanto, el contrato debe especificar derechos mínimos de exportación. En caso de reemplazo, el estado actual no sensible debe ser público. La evidencia protegida debe moverse bajo depósito en garantía o custodia independiente. Los titulares deben recibir notificación de los registros que les afecten. Las disputas deben permanecer visibles sin publicar acusaciones privadas. Los procedimientos de corrección deben sobrevivir a la transición. Un sucesor no debe comenzar con una memoria institucional en blanco.

Esto se alinea con la arquitectura del mercado de transferencia. La escasez de IPv4 ha hecho que los recursos numéricos sean económicamente significativos. Un mercado no puede funcionar si el reconocimiento desaparece cada vez que cambia el proveedor de servicios. La finalidad requiere un registro que sobreviva a la oficina. La portabilidad requiere una prueba que viaje con el titular. La competencia entre servicios de registro requiere una forma de moverse sin duplicar recursos.

NRS puede presionar esta dimensión de derechos del titular mientras se mantiene fiel a la unicidad. El punto no es permitir que un titular busque el registro más fácil. El punto es evitar que un titular legítimo quede atrapado por una relación de registro no responsable cuando la evidencia puede probar la continuidad.

La antifragmentación requiere un estado y muchos verificadores

El miedo en torno a los servicios de registro alternativos es la fragmentación: dos registros incompatibles para el mismo recurso, dos vistas RPKI, dos respuestas RDAP, dos historiales de transferencia y operadores tomando partido. Ese miedo es legítimo. Un modelo futuro que trate a cada institución como igualmente autoritativa por afirmación dañaría la misma unicidad que pretende proteger.

La respuesta no es una institución insustituible. Es un estado actual autoritativo único, muchos verificadores y un procedimiento definido para cambiar el proveedor de servicios que publica ese estado. Los RIR, operadores autorizados y auditores independientes pueden verificar el estado operativo; los investigadores, proveedores de nube y archivos públicos pueden probar la consistencia pública. NRS puede publicar investigaciones sobre esos resultados y representar las preocupaciones de los miembros. Ninguno de estos roles de defensa u observación crea un estado actual conflictivo.

Esta distinción es familiar en otros sistemas. Muchas partes pueden verificar un libro mayor sin que cada una acuñe el saldo oficial. Muchos monitores pueden observar un registro de transparencia sin que cada uno emita certificados. Muchos operadores pueden validar RPKI sin que cada uno asigne espacio de direcciones. La verificación distribuida fortalece un estado único cuando los roles están claros.

Una función IANA contratable debe fomentar espejos independientes, compromisos presenciados, archivos de estado reproducibles, validadores públicos y auditorías externas. Debe desalentar estados paralelos privados que parezcan autoritativos pero que no concilien. NRS debe permanecer en el lado de la defensa, la investigación y la representación de miembros: puede presionar por estándares de verificación y publicar comparaciones respaldadas por fuentes, pero no es la publicadora o custodio del estado autoritativo. Esa postura hace que sus argumentos sean más seguros y persuasivos.

La antifragmentación también significa planificar para emergencias. Si el operador establecido falla, el sucesor debe publicar el mismo último estado válido, no una reescritura política preferida. Las correcciones pueden ocurrir después de una notificación y revisión de evidencia. El primer deber en la transición es la continuidad de la unicidad.

La financiación debe seguir al servicio, no a la institución

Una función contratable necesita un modelo de financiación que pague por un servicio confiable sin hacer que el operador sea irreemplazable. La financiación debe cubrir personal, seguridad, infraestructura, auditoría, preparación legal, depósito en garantía, revisión independiente, gestión de claves, ejercicios de continuidad e informes públicos. No debe convertirse en un pago de lealtad a la oficina del operador establecido.

Si las tarifas se canalizan solo a través de las instituciones actuales, esas instituciones pueden enmarcar el reemplazo como caos financiero. Si un sucesor no tiene financiación de transición garantizada, el derecho de reemplazo es hueco. Si cualquier operador candidato depende de un apoyo de donantes opaco, la independencia se vuelve cuestionable. Por lo tanto, el contrato debe definir la financiación del servicio, las reglas de reserva, la financiación de transición y los requisitos de auditoría por adelantado. NRS puede escrutar esos arreglos como grupo de defensa, pero aquí no se trata como un operador candidato.

El SLA actual utiliza el reembolso por parte de los RIR para los servicios de numeración IANA. Un modelo futuro podría retener la financiación colectiva mientras hace que partes sean portátiles: apoyo de transición financiado por depósito en garantía, financiación de evaluadores independientes, infraestructura de prueba pública y reservas operativas de emergencia. El dinero debe adjuntarse a los deberes del servicio, no al prestigio del operador establecido.

Este no es un argumento para la licitación competitiva a velocidad de máquina. La numeración IANA es demasiado importante para un cambio casual. Es un argumento de que un proveedor de servicios debe saber que puede perder el rol por fallo definido, y un sucesor debe saber que puede desempeñarse sin suplicar al operador establecido por fondos, datos o cooperación.

La disciplina financiera también es una disciplina antipolítica. Las historias de soberanía a menudo ocultan cuestiones de recursos: quién paga, quién controla las reservas, quién financia el litigio, quién financia el personal de emergencia. Un contrato pone esas cuestiones en números, auditorías y desencadenantes.

La prueba pública no debe convertirse en exposición pública

Más evidencia no significa siempre más datos públicos. Los registros de recursos numéricos contienen relaciones comerciales, contactos, eventos de seguridad, negociaciones de transferencia, materiales judiciales e información personal. Un modelo IANA orientado a la prueba debe exponer el mínimo necesario para verificar el estado, no todos los documentos detrás de una decisión.

La capa pública puede mostrar el alcance del recurso, el estado actual de nivel superior, el emisor, la secuencia, la hora, la clase de razón, el estado del servicio dependiente y los compromisos con la evidencia protegida. La capa protegida puede contener solicitudes autenticadas, prueba de identidad, documentos legales, análisis del personal y detalles de seguridad bajo reglas de acceso. La capa de auditoría puede permitir que revisores independientes confirmen que la evidencia protegida respalda el estado público sin publicar la evidencia en sí.

Esto también es importante para los servicios de portabilidad que NRS y otros grupos de interés público pueden escrutar. Un servicio autorizado que publique demasiado desanimará a los titulares y creará riesgo de seguridad. Un servicio que publique muy poco pedirá al mundo que confíe en él. La respuesta correcta es la divulgación selectiva más compromisos sólidos: probar existencia, integridad, secuencia y revisabilidad; divulgar contenidos solo a partes con una necesidad legítima. La contribución de NRS es investigar si ese equilibrio protege a los miembros y abogar por la corrección cuando no sea así.

El diseño también debe tener en cuenta la corrección. Si un compromiso público incluye un estado incorrecto, el registro no debe ser borrado. Debe ser reemplazado con una corrección, razón y enlace al compromiso anterior. Tanto la integridad histórica como la precisión actual importan. Eliminar registros embarazosos hace que un contable no sea digno de confianza; congelar registros falsos lo hace peligroso.

Por lo tanto, prueba sin exposición es un requisito de diseño, no un eslogan. Es cómo un servicio global puede ser responsable respetando los límites comerciales y personales.

El desencadenante de reemplazo debe ser preciso

Un procedimiento de reemplazo es creíble solo cuando los desencadenantes están definidos. La insatisfacción vaga no es suficiente. El servicio debe identificar condiciones como fallo material repetido para cumplir con niveles de servicio de alta gravedad, negativa a proporcionar exportación de datos requerida, compromiso de seguridad sin cura adecuada, pérdida de capacidad legal, insolvencia que afecte el servicio, fallo persistente para implementar solicitudes de política global válidas, fallo para preservar la unicidad, o no renovación después del debido proceso.

Cada desencadenante debe tener evidencia. Un fallo de servicio repetido requiere métricas y clasificaciones de incidentes. Un fallo de exportación de datos requiere prueba de solicitud y no entrega. Un fallo de seguridad requiere hallazgos protegidos pero revisables. Un fallo de unicidad requiere registros de estado conflictivos o delegación duplicada. Un problema de capacidad legal requiere documentos formales. La decisión de reemplazo no debe basarse en el estado de ánimo.

El procedimiento también debe tener un camino de cura. Algunos fallos pueden corregirse. Algunos requieren una intervención temporal sin reemplazo permanente. Algunos requieren monitoreo independiente. Algunos justifican una acción de emergencia inmediata. El contrato debe distinguirlos antes de una crisis.

NRS debe apoyar desencadenantes precisos porque previenen tanto la captura como el caos. Los operadores establecidos no pueden ser eliminados simplemente porque a un alternativo no le gusten. Los operadores establecidos tampoco pueden quedarse simplemente porque la eliminación sea políticamente incómoda. El estándar de servicio, no la identidad institucional, hace el trabajo.

La precisión también protege la unicidad global. Durante un reemplazo disputado, los operadores necesitan saber en qué estado confiar. Un desencadenante definido y un aviso público reducen el riesgo de que dos instituciones reclamen el mismo rol al mismo tiempo.

El primer contrato debe ser comprobable sin una crisis

Un modelo IANA contratable no debe esperar a que ocurra un fallo institucional para probar sus promesas. El primer contrato de servicio, o la próxima revisión de uno existente, debe exigir ejercicios regulares que demuestren que el servicio puede reconstruirse a partir de evidencia en lugar de memoria institucional. Un ejercicio de mesa es útil, pero no es suficiente. El operador debe producir periódicamente una exportación de sucesor, un compromiso de estado actual, una conciliación de servicios dependientes y un paquete de evidencia protegida de muestra para revisión independiente.

El ejercicio debe ser limitado y seguro. No debe mover la autoridad en vivo. Debe elegir un cambio histórico, un estado de delegación actual, una ruta de actualización de DNS inverso y una relación de arranque RDAP, luego pedir a un revisor independiente que reconstruya lo que sucedió a partir de la evidencia exportada. Si el revisor no puede decir qué estado es actual, por qué cambió, qué superficies dependientes se tocaron o qué evidencia protegida respalda el cambio, el servicio tiene un defecto de portabilidad incluso si las operaciones diarias son verdes.

Este tipo de prueba cambiaría los incentivos. Un operador establecido sabría que debe mantener registros en una forma legible por el sucesor. Un sucesor potencial conocería la superficie operativa real antes de una crisis. Los RIR aprenderían qué dependencias están mal documentadas. Los titulares ganarían confianza en que su historial de reconocimiento no está atrapado en sistemas privados. NRS y otros observadores externos de interés público podrían criticar la calidad de la evidencia publicada sin reclamar autoridad sobre el registro en vivo.

La prueba debe incluir supuestos de fallo. ¿Qué pasa si el repositorio principal del operador establecido no está disponible? ¿Qué pasa si se rota una clave de firma durante el período de exportación? ¿Qué pasa si una solicitud está en revisión intermedia? ¿Qué pasa si una orden judicial afecta a un titular pero no a la delegación de nivel superior? ¿Qué pasa si el arranque RDAP y los registros de DNS inverso están en desacuerdo? ¿Qué pasa si un RIR disputa el estado exportado mientras cuatro lo aceptan? Un contrato que no puede responder estas preguntas antes del fallo las responderá bajo presión más tarde.

El resultado público puede ser limitado. Los detalles de seguridad, el material de autenticación y la evidencia privada del titular deben permanecer protegidos. Pero el revisor puede publicar si la exportación fue completa, si el estado era internamente consistente, si los servicios dependientes conciliaron, si existía evidencia protegida, si el tiempo de recuperación cumplió con las expectativas y qué categorías necesitan corrección. Eso es suficiente para hacer creíble el reemplazo sin exponer registros sensibles.

Este enfoque de contrato comprobable es donde NRS puede contribuir de manera más constructiva como defensor. En lugar de pedir al mundo que elija entre los operadores establecidos de hoy y el desafiante de mañana, NRS puede pedir a cada proveedor de servicios autorizado o candidato que demuestre portabilidad y puede publicar análisis respaldados por fuentes de los resultados. La demanda es neutral. Si PTI pasa, la confianza en PTI aumenta. Si otro operador candidato pasa, la evidencia respalda su calificación.

Si un operador establecido bloquea la prueba, la comunidad aprende que la amenaza a la continuidad proviene de la opacidad, no de la idea de reemplazo. Ninguno de esos resultados convierte a NRS en la autoridad de prueba u operador de servicio.

Las pruebas regulares también evitan que la reforma se convierta en un arma de crisis. El punto no es mantener a un sucesor esperando en una emboscada. El punto es hacer que cada operador se comporte como si el servicio, no la oficina, fuera la cosa permanente. Esa es la disciplina central de una función IANA contratable.

Si el ejercicio es aburrido, ha tenido éxito. La prueba aburrida es lo que mantiene el reemplazo legal, tranquilo y técnicamente sobrevivible cuando la confianza institucional cae repentinamente. También da a los operadores una referencia compartida antes de que el rumor se convierta en política de ruta.

Un modelo futuro puede ser radical siendo limitado

El cambio más radical sería hacer que la función de numeración IANA sea aburridamente contratable. No simbólica. No soberana. No poseída. No inmune. Un servicio definido, realizado por un operador calificado, bajo métricas visibles, pruebas de datos, revisión independiente, reglas de evidencia sensibles al titular y reemplazo real.

Ese modelo es compatible con la mejor versión de NRS. NRS puede argumentar que el poder del registro debe ser limitado, la evidencia debe viajar, los titulares no deben estar cautivos, los mercados deben recibir pruebas confiables y los operadores establecidos deben seguir siendo reemplazables. Puede hacerlo mientras insiste en que el estado autoritativo actual sigue siendo singular y que los registros complementarios no deben hacerse pasar por asignación reconocida.

El modelo también es compatible con el papel legítimo de ICANN. ICANN puede continuar coordinando en el nivel más alto donde su misión lo requiere. PTI puede continuar operando la función si cumple con el estándar de servicio. Los RIR pueden seguir siendo partes y desarrolladores de políticas. Los operadores pueden obtener mejores pruebas. Los titulares pueden obtener portabilidad. Los gobiernos pueden actuar dentro de la jurisdicción ordinaria sin reclamar propiedad del espacio de números.

La tensión no es entre orden y reforma. Es entre orden no revisable y orden verificado. Una función IANA contratable elige el orden verificado. Dice: mantener un estado, probarlo, hacer que el guardián sea responsable y prepararse para el reemplazo antes de que se necesite el reemplazo.

Ese es el camino por el cual la unicidad global puede sobrevivir al cambio institucional sin convertirse en propiedad política.