El mercado de IPv4 está que arde. Cada vez más bloques cambian de manos, y claro, la pregunta del millón: ¿quién está realmente autorizado a anunciarlos? RPKI es la respuesta técnica que llevamos años necesitando. Un sistema de certificados criptográficos que ata cada prefijo IP a su dueño legítimo. Así se evitan los secuestros de ruta BGP, esos que de repente desvían tu tráfico a un atacante. En este texto voy a contar qué es RPKI, cómo asegura el enrutamiento de direcciones IPv4, y por qué si eres operador de red ya deberías estar usándolo.
¿Qué es RPKI y por qué importa para IPv4?
RPKI (Resource Public Key Infrastructure) es un sistema que impide anuncios BGP no autorizados. Funciona creando una cadena de confianza para los bloques de IP. El titular de un prefijo —un “recurso”— emite una ROA (Route Origin Authorization) donde declara: “este AS puede originar este prefijo”. Los routers después validan los anuncios contra esa base de datos. Y si no coinciden, los desechan.
Need IPv4 addresses?
Browse clean, RIPE-verified subnets at $0.50/IP/month.
Para la comunidad IPv4 esto no es un lujo. Es evitar que te roben el tráfico, que se caiga tu servicio, que pierdas dinero. Y ojo, pasa más de lo que crees.
El problema del secuestro de rutas
Sin RPKI, BGP funciona por fe. Cualquier AS puede anunciar cualquier prefijo, y si la ruta es más específica o el AS path más corto, internet lo propaga. Hubo casos sonados: el secuestro del DNS de Amazon en 2018, el del ISP suizo en 2021. Millones de dólares en daños. RPKI corta eso de raíz: vincula criptográficamente cada prefijo a un AS de origen legítimo.
Cómo funciona (la ROA)
Una ROA es un objeto firmado digitalmente. Dice: “El prefijo X puede ser anunciado por AS Y, con una longitud máxima de prefijo Z”. La firma se hace con la clave privada del titular de la IP, que a su vez está vinculada a la infraestructura de clave pública de los RIR (los registros regionales). Los routers que validan RPKI descargan esas ROAs y las cotejan con los anuncios BGP entrantes.
Los componentes clave de RPKI
Infraestructura de clave pública de recursos
RPKI es una jerarquía de certificados que refleja cómo se asignan las IP: IANA → RIR → NIR → LIR → usuario final. Cada certificado incluye el prefijo y la clave pública del siguiente nivel. Así queda un registro inmutable de quién posee qué.
La ROA (Route Origin Authorization)
Las ROAs son el corazón operativo. Las crea el dueño del prefijo desde el portal de su RIR (ARIN, RIPE, APNIC…). Normalmente especifican:
- El prefijo IP (ej. 203.0.113.0/24)
- El número AS (ej. AS64500)
- La longitud máxima del prefijo (ej. /24, o sea que no valen subredes más específicas)
Los anuncios que encajan exactamente o están dentro de una ROA son Valid. Los que no tienen ROA coincidente son NotFound. Y los que chocan son Invalid.
Validación RPKI
Para aplicar RPKI necesitas un validador (Routinator, OctoRPKI, o un servicio en la nube). Este descarga periódicamente los datos globales, verifica firmas y genera una lista de ROAs validadas (VRP). Luego el router, con políticas BGP, filtra según esa lista:
- Descartar rutas Invalid (lo más agresivo)
- Solo aceptar Valid (más seguro, pero puedes perder rutas NotFound legítimas)
- Preferir Valid sobre NotFound (un equilibrio)
Mi consejo: empieza por descartar Invalid y vigila falsos positivos.
Implementar RPKI: pasos prácticos
Paso 1: Obtener una ROA
Entra en tu cuenta del RIR, busca “RPKI” o “Gestión de ROAs”, y crea una para cada prefijo que tengas. Indica el AS con el que anuncias ese prefijo y la longitud máxima. Revísalo cada trimestre, porque la topología cambia.
Paso 2: Configurar el router
La mayoría de routers modernos (Cisco IOS-XR, Juniper JunOS, Arista EOS, BIRD, FRRouting) soportan validación RPKI. Un ejemplo con BIRD en Linux:
protocol rpki rpki_global {
roa4 { table rpki_table; };
remote 10.0.0.1; port 323;
retry keep 90;
refresh 3600;
expire 7200;
}
Luego aplicas una política de importación BGP que consulte la tabla RPKI.
Paso 3: Monitorizar y mantener
Pon alertas para las actualizaciones BGP marcadas como Invalid. Cada vez que adquieras o transfieras IPv4, crea una ROA inmediatamente. Algunos mercados —como IP4 Market— exigen propiedad verificada. Usar RPKI añade una capa de prueba criptográfica de que eres el titular legítimo.
Adopción de RPKI e impacto en el mercado
A día de hoy (2024), el 40% de los prefijos IPv4 anunciados tienen ROA. Y operadores grandes (NTT, Cogent, Level 3) ya descartan rutas Invalid de forma activa. Eso empuja a todos los demás a asegurar sus prefijos. Aquí una comparativa rápida:
| Factor | Sin RPKI | Con RPKI |
|---|---|---|
| Riesgo de secuestro | Alto – cualquiera anuncia tu prefijo | Bajo – solo AS autorizado |
| Verificación de propiedad | Manual, propensa a errores | Criptográfica, automática |
| Impacto en compraventa IPv4 | Disputas frecuentes, transferencias lentas | Procedencia clara, transacciones rápidas |
| Cumplimiento con RIR | Voluntario | Cada vez obligatorio para transferencias |
Preguntas frecuentes sobre RPKI
P: ¿RPKI afecta a mi tráfico de salida?
No. RPKI solo filtra anuncios BGP entrantes. Tu red puede seguir anunciando prefijos sin ROA (aunque tus proveedores pueden descartarlos si son Invalid).
P: ¿RPKI puede romper mi enrutamiento actual?
Si creas ROAs precisas, no se rompe nada. Solo se descartan rutas Invalid que choquen con tu ROA. La mayoría de redes empiezan con “descartar Invalid” y no tienen problemas.
P: ¿Se puede usar RPKI para IPv6?
Sí, la misma infraestructura sirve para IPv4 e IPv6. Este artículo se centra en IPv4, pero los principios aplican igual.
Cómo IP4 Market apoya el enrutamiento seguro
En IP4 Market nos tomamos en serio la seguridad del enrutamiento. Cada anuncio pasa por un proceso de verificación que revisa los registros del RIR y, cuando es posible, el estado de las ROAs. Nuestra plataforma conecta compradores con vendedores verificados que mantienen direcciones listas para RPKI, reduciendo el riesgo de secuestro tras la transferencia. También ofrecemos herramientas para que puedas generar ROAs en cuanto un bloque se transfiere a tu cuenta.
Para cerrar
RPKI ya no es un extra. Es una práctica necesaria para proteger tu red, tus clientes y el valor de tu activo IP. Al adoptar validación RPKI y emitir ROAs para tus prefijos, contribuyes a una tabla de enrutamiento global más fiable. Ya compres, vendas o alquiles IPv4, busca una plataforma que entienda y promueva RPKI. IP4 Market está comprometida con transacciones seguras, vendedores verificados y políticas de enrutamiento transparentes.
Empieza a asegurar tus prefijos hoy. Visita IP4 Market para listar o encontrar direcciones IPv4 preparadas para RPKI.
