{"id":385,"date":"2026-06-19T10:04:51","date_gmt":"2026-06-19T10:04:51","guid":{"rendered":"https:\/\/ip4.market\/blog\/385-2\/"},"modified":"2026-06-19T10:04:53","modified_gmt":"2026-06-19T10:04:53","slug":"rpki-routing-security-key-to-protecting-ipv4-networks","status":"publish","type":"post","link":"https:\/\/ip4.market\/blog\/rpki-routing-security-key-to-protecting-ipv4-networks\/","title":{"rendered":"RPKI Routing Security: Key to Protecting IPv4 Networks"},"content":{"rendered":"
\nIn this article:<\/strong><\/p>\n
    \n
  1. What is RPKI and Why Does It Matter for IPv4?<\/a><\/li>\n
  2. The Core Components of RPKI Routing Security<\/a><\/li>\n
  3. Implementing RPKI: Practical Steps for Network Operators<\/a><\/li>\n
  4. RPKI Adoption and Market Impact<\/a><\/li>\n
  5. Common Questions About RPKI<\/a><\/li>\n
  6. How IP4 Market Supports Secure Routing<\/a><\/li>\n<\/ol>\n<\/div>\n

    El mercado de IPv4 est\u00e1 que arde. Cada vez m\u00e1s bloques cambian de manos, y claro, la pregunta del mill\u00f3n: \u00bfqui\u00e9n est\u00e1 realmente autorizado a anunciarlos? RPKI<\/strong> es la respuesta t\u00e9cnica que llevamos a\u00f1os necesitando. Un sistema de certificados criptogr\u00e1ficos que ata cada prefijo IP a su due\u00f1o leg\u00edtimo. As\u00ed se evitan los secuestros de ruta BGP, esos que de repente desv\u00edan tu tr\u00e1fico a un atacante. En este texto voy a contar qu\u00e9 es RPKI, c\u00f3mo asegura el enrutamiento de direcciones IPv4, y por qu\u00e9 si eres operador de red ya deber\u00edas estar us\u00e1ndolo.<\/p>\n

    \u00bfQu\u00e9 es RPKI y por qu\u00e9 importa para IPv4?<\/h2>\n

    RPKI (Resource Public Key Infrastructure) es un sistema que impide anuncios BGP no autorizados. Funciona creando una cadena de confianza para los bloques de IP. El titular de un prefijo \u2014un \u201crecurso\u201d\u2014 emite una ROA (Route Origin Authorization) donde declara: \u201ceste AS puede originar este prefijo\u201d. Los routers despu\u00e9s validan los anuncios contra esa base de datos. Y si no coinciden, los desechan.<\/p>\n

    Para la comunidad IPv4 esto no es un lujo. Es evitar que te roben el tr\u00e1fico, que se caiga tu servicio, que pierdas dinero. Y ojo, pasa m\u00e1s de lo que crees.<\/p>\n

    El problema del secuestro de rutas<\/h3>\n

    Sin RPKI, BGP funciona por fe. Cualquier AS puede anunciar cualquier prefijo, y si la ruta es m\u00e1s espec\u00edfica o el AS path m\u00e1s corto, internet lo propaga. Hubo casos sonados: el secuestro del DNS de Amazon en 2018, el del ISP suizo en 2021. Millones de d\u00f3lares en da\u00f1os. RPKI corta eso de ra\u00edz: vincula criptogr\u00e1ficamente cada prefijo a un AS de origen leg\u00edtimo.<\/p>\n

    C\u00f3mo funciona (la ROA)<\/h3>\n

    Una ROA es un objeto firmado digitalmente. Dice: \u201cEl prefijo X puede ser anunciado por AS Y, con una longitud m\u00e1xima de prefijo Z\u201d. La firma se hace con la clave privada del titular de la IP, que a su vez est\u00e1 vinculada a la infraestructura de clave p\u00fablica de los RIR (los registros regionales). Los routers que validan RPKI descargan esas ROAs y las cotejan con los anuncios BGP entrantes.<\/p>\n

    Los componentes clave de RPKI<\/h2>\n

    Infraestructura de clave p\u00fablica de recursos<\/h3>\n

    RPKI es una jerarqu\u00eda de certificados que refleja c\u00f3mo se asignan las IP: IANA \u2192 RIR \u2192 NIR \u2192 LIR \u2192 usuario final. Cada certificado incluye el prefijo y la clave p\u00fablica del siguiente nivel. As\u00ed queda un registro inmutable de qui\u00e9n posee qu\u00e9.<\/p>\n

    La ROA (Route Origin Authorization)<\/h3>\n

    Las ROAs son el coraz\u00f3n operativo. Las crea el due\u00f1o del prefijo desde el portal de su RIR (ARIN, RIPE, APNIC\u2026). Normalmente especifican:<\/p>\n

      \n
    • El prefijo IP (ej. 203.0.113.0\/24)<\/li>\n
    • El n\u00famero AS (ej. AS64500)<\/li>\n
    • La longitud m\u00e1xima del prefijo (ej. \/24, o sea que no valen subredes m\u00e1s espec\u00edficas)<\/li>\n<\/ul>\n

      Los anuncios que encajan exactamente o est\u00e1n dentro de una ROA son Valid<\/strong>. Los que no tienen ROA coincidente son NotFound<\/strong>. Y los que chocan son Invalid<\/strong>.<\/p>\n

      Validaci\u00f3n RPKI<\/h3>\n

      Para aplicar RPKI necesitas un validador (Routinator, OctoRPKI, o un servicio en la nube). Este descarga peri\u00f3dicamente los datos globales, verifica firmas y genera una lista de ROAs validadas (VRP). Luego el router, con pol\u00edticas BGP, filtra seg\u00fan esa lista:<\/p>\n

        \n
      • Descartar rutas Invalid<\/strong> (lo m\u00e1s agresivo)<\/li>\n
      • Solo aceptar Valid<\/strong> (m\u00e1s seguro, pero puedes perder rutas NotFound leg\u00edtimas)<\/li>\n
      • Preferir Valid sobre NotFound (un equilibrio)<\/li>\n<\/ul>\n

        Mi consejo: empieza por descartar Invalid<\/em> y vigila falsos positivos.<\/p>\n

        Implementar RPKI: pasos pr\u00e1cticos<\/h2>\n

        Paso 1: Obtener una ROA<\/h3>\n

        Entra en tu cuenta del RIR, busca \u201cRPKI\u201d o \u201cGesti\u00f3n de ROAs\u201d, y crea una para cada prefijo que tengas. Indica el AS con el que anuncias ese prefijo y la longitud m\u00e1xima. Rev\u00edsalo cada trimestre, porque la topolog\u00eda cambia.<\/p>\n

        Paso 2: Configurar el router<\/h3>\n

        La mayor\u00eda de routers modernos (Cisco IOS-XR, Juniper JunOS, Arista EOS, BIRD, FRRouting) soportan validaci\u00f3n RPKI. Un ejemplo con BIRD en Linux:<\/p>\n

        protocol rpki rpki_global {<\/code>
        \n roa4 { table rpki_table; };<\/code>
        \n remote 10.0.0.1; port 323;<\/code>
        \n retry keep 90;<\/code>
        \n refresh 3600;<\/code>
        \n expire 7200;<\/code>
        \n}<\/code><\/p>\n

        Luego aplicas una pol\u00edtica de importaci\u00f3n BGP que consulte la tabla RPKI.<\/p>\n

        Paso 3: Monitorizar y mantener<\/h3>\n

        Pon alertas para las actualizaciones BGP marcadas como Invalid. Cada vez que adquieras o transfieras IPv4, crea una ROA inmediatamente. Algunos mercados \u2014como IP4 Market\u2014 exigen propiedad verificada. Usar RPKI a\u00f1ade una capa de prueba criptogr\u00e1fica de que eres el titular leg\u00edtimo.<\/p>\n

        Adopci\u00f3n de RPKI e impacto en el mercado<\/h2>\n

        A d\u00eda de hoy (2024), el 40% de los prefijos IPv4 anunciados tienen ROA. Y operadores grandes (NTT, Cogent, Level 3) ya descartan rutas Invalid de forma activa. Eso empuja a todos los dem\u00e1s a asegurar sus prefijos. Aqu\u00ed una comparativa r\u00e1pida:<\/p>\n

        \n\n\n\n\n\n\n\n\n
        Factor<\/th>\nSin RPKI<\/th>\nCon RPKI<\/th>\n<\/tr>\n<\/thead>\n
        Riesgo de secuestro<\/td>\nAlto \u2013 cualquiera anuncia tu prefijo<\/td>\nBajo \u2013 solo AS autorizado<\/td>\n<\/tr>\n
        Verificaci\u00f3n de propiedad<\/td>\nManual, propensa a errores<\/td>\nCriptogr\u00e1fica, autom\u00e1tica<\/td>\n<\/tr>\n
        Impacto en compraventa IPv4<\/td>\nDisputas frecuentes, transferencias lentas<\/td>\nProcedencia clara, transacciones r\u00e1pidas<\/td>\n<\/tr>\n
        Cumplimiento con RIR<\/td>\nVoluntario<\/td>\nCada vez obligatorio para transferencias<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n
        \nTip:<\/strong> Cuando compres IPv4 en un marketplace como IP4 Market, f\u00edjate siempre si el vendedor ha emitido ROAs. Un bloque sin ROA puede estar mal gestionado o ser fraudulento. Los vendedores verificados en IP4 Market aportan evidencia de ROA como parte de la transacci\u00f3n.\n<\/div>\n

        Preguntas frecuentes sobre RPKI<\/h2>\n
        \n

        P: \u00bfRPKI afecta a mi tr\u00e1fico de salida?<\/strong>
        \nNo. RPKI solo filtra anuncios BGP entrantes<\/em>. Tu red puede seguir anunciando prefijos sin ROA (aunque tus proveedores pueden descartarlos si son Invalid).<\/p>\n

        P: \u00bfRPKI puede romper mi enrutamiento actual?<\/strong>
        \nSi creas ROAs precisas, no se rompe nada. Solo se descartan rutas Invalid que choquen con tu ROA. La mayor\u00eda de redes empiezan con \u201cdescartar Invalid\u201d y no tienen problemas.<\/p>\n

        P: \u00bfSe puede usar RPKI para IPv6?<\/strong>
        \nS\u00ed, la misma infraestructura sirve para IPv4 e IPv6. Este art\u00edculo se centra en IPv4, pero los principios aplican igual.<\/p>\n<\/div>\n

        C\u00f3mo IP4 Market apoya el enrutamiento seguro<\/h2>\n

        En IP4 Market nos tomamos en serio la seguridad del enrutamiento. Cada anuncio pasa por un proceso de verificaci\u00f3n que revisa los registros del RIR y, cuando es posible, el estado de las ROAs. Nuestra plataforma conecta compradores con vendedores verificados que mantienen direcciones listas para RPKI, reduciendo el riesgo de secuestro tras la transferencia. Tambi\u00e9n ofrecemos herramientas para que puedas generar ROAs en cuanto un bloque se transfiere a tu cuenta.<\/p>\n

        \nAviso:<\/strong> Si compras direcciones IPv4 sin ROA, puede que no puedas anunciarlas de forma segura. Exige siempre la transferencia de la ROA como parte de la venta. IP4 Market lo facilita permiti\u00e9ndote emitir ROAs directamente desde tu portal del RIR despu\u00e9s de la transacci\u00f3n.\n<\/div>\n

        Para cerrar<\/h2>\n

        RPKI ya no es un extra. Es una pr\u00e1ctica necesaria para proteger tu red, tus clientes y el valor de tu activo IP. Al adoptar validaci\u00f3n RPKI y emitir ROAs para tus prefijos, contribuyes a una tabla de enrutamiento global m\u00e1s fiable. Ya compres, vendas o alquiles IPv4, busca una plataforma que entienda y promueva RPKI. IP4 Market est\u00e1 comprometida con transacciones seguras, vendedores verificados y pol\u00edticas de enrutamiento transparentes.<\/p>\n

        Empieza a asegurar tus prefijos hoy. Visita IP4 Market para listar o encontrar direcciones IPv4 preparadas para RPKI.<\/p>\n","protected":false},"excerpt":{"rendered":"

        In this article: What is RPKI and Why Does It Matter for IPv4? The Core Components of RPKI Routing Security Implementing RPKI: Practical Steps for Network Operators RPKI Adoption and…<\/p>\n","protected":false},"author":1,"featured_media":387,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-385","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-networking"],"_links":{"self":[{"href":"https:\/\/ip4.market\/blog\/wp-json\/wp\/v2\/posts\/385","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ip4.market\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ip4.market\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ip4.market\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ip4.market\/blog\/wp-json\/wp\/v2\/comments?post=385"}],"version-history":[{"count":1,"href":"https:\/\/ip4.market\/blog\/wp-json\/wp\/v2\/posts\/385\/revisions"}],"predecessor-version":[{"id":386,"href":"https:\/\/ip4.market\/blog\/wp-json\/wp\/v2\/posts\/385\/revisions\/386"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ip4.market\/blog\/wp-json\/wp\/v2\/media\/387"}],"wp:attachment":[{"href":"https:\/\/ip4.market\/blog\/wp-json\/wp\/v2\/media?parent=385"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ip4.market\/blog\/wp-json\/wp\/v2\/categories?post=385"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ip4.market\/blog\/wp-json\/wp\/v2\/tags?post=385"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}