Metodología
Detección y atribución de anomalías de latencia en cables submarinos mediante validación cruzada de dos señales
Evgeny Korolev — GeoCables · Nota técnica, junio 2026 · v1.1
1. Base de datos
| Activo | Escala |
|---|---|
| Cables submarinos (con geometría de puntos de aterrizaje) | 703 |
| Puntos de aterrizaje (geocodificados) | 1,932 |
| Segmentos de cable / troncales | 26,053 |
| Sondas propias (Minsk, Almaty, Tbilisi, Jerusalén) + RIPE Atlas | 12 + RIPE |
| Comprobaciones completadas (desde 2026-03-01) | 168,699 |
| Cables bajo medición activa | 691 |
El método se ejecuta sobre un grafo de topología curado y un archivo de mediciones en acumulación continua. El RTT bruto de cada medición se conserva solo-añadir, de modo que cualquier detector futuro puede reejecutarse sobre todo el historial — una propiedad que no puede reconstruirse retroactivamente solo a partir de mapas públicos de cables.
2. Detección (línea base + atribución haversine)
Cada comprobación hace ping (y traceroute) a un objetivo cercano a un punto de aterrizaje. Una medición es candidata a anomalía cuando su RTT se eleva notablemente por encima de la línea base adaptativa de la ruta. Los candidatos pasan por un embudo escalonado antes de cualquier alerta — la primera capa de supresión de falsos positivos:
| Etapa | Significado | Cantidad |
|---|---|---|
spike | medición bruta por encima de la línea base | 624 |
anomaly_confirmed | pico que persiste / se corrobora | 189 |
alert | promovido a incidente rastreado | 114 |
Solo ~18% de los picos brutos (114 / 624) se convierten en alertas. La atribución de cable es geométrica: el salto de latencia se asocia al segmento de cable más cercano por distancia haversine entre el salto sospechoso y los puntos de aterrizaje de los cables candidatos.
3. Validación cruzada de dos señales
3.1 Señal A — cambio de ruta AS
Cuando un cable submarino se degrada, el tráfico a menudo se redirige, cambiando la ruta de sistemas autónomos. Para cada alerta comparamos la ruta AS antes del evento (la ruta modal en ese par sonda→objetivo) con la ruta en el momento del evento.
| Veredicto | Significado | Cantidad |
|---|---|---|
route_change_break | ruta AS cambiada, con un gran aumento adicional de latencia en la nueva ruta | 4 |
route_change | ruta AS cambiada | 5 |
same_path | RTT subió, ruta sin cambios (clase congestión) | 57 |
no routing history | historial de enrutamiento insuficiente | 48 |
De las 66 alertas con historial de enrutamiento suficiente, 9 (13,6%) fueron corroboradas independientemente por un cambio medido de ruta AS. Una huella ingenua sobre la ruta IP bruta es demasiado ruidosa (el balanceo ECMP y los tiempos de espera intermitentes producen ~18 rutas IP distintas por par sonda→objetivo); la señal solo se vuelve estable en la huella del conjunto AS (~1,5 por par), que es la que usamos.
3.2 Señal B — consenso multi-sonda consciente del segmento
Si solo la sonda detectora ve una degradación, la pregunta es si las otras sondas son testigos silenciosos o simplemente no están en el cable afectado. Una sonda que rodea el cable no es testigo — su silencio no es coartada. Por tanto contamos una sonda como testigo elegible solo si su ruta AS real geo-atraviesa el mismo corredor de cable que usó la ruta de la sonda en alerta. Esta prueba de geo-corredor descartó el 30% de los «testigos» ingenuos del mismo cable como fuera-de-corredor.
| Veredicto | Significado | Cantidad |
|---|---|---|
widespread | mayoría de testigos del corredor también degradados — evento de cable real | 1 |
mixed | algunos testigos del corredor degradados | 4 |
routing_event_non_cable | la sonda en alerta se redirigió, testigos del corredor sanos → BGP/peering, no una rotura | 7 |
probe_specific_likely_fp | testigos del corredor sanos, sin reenrutamiento → artefacto local | 44 |
narrow_path_event_possible | cable de sonda única — no se puede descartar un evento estrecho | 1 |
insufficient_witness_context | sin testigo de corredor concurrente — desconocido | 57 |
3.3 Escala de confianza
Las dos señales son en gran medida independientes: un cambio de ruta AS refleja un evento topológico, mientras que el consenso multi-sonda refleja la amplitud geográfica de la degradación — procesos físicos distintos que no tienen por qué coincidir. Muy pocas alertas satisfacen ambas. Combinándolas:
| Nivel | Definición | Cantidad (de 114) |
|---|---|---|
| Doblemente confirmado | cambio de ruta AS y corroboración multi-sonda | 0 |
| Señal única | corroborado por exactamente una señal | 14 |
| Falso positivo defendible | testigos del corredor sanos y sin reenrutamiento | 44 |
| Sin clasificar (cobertura) | ningún testigo presente en el corredor — límite de cobertura de sondas, no incertidumbre del método | 56 |
El conteo «doblemente confirmado» es cero, y ese es el resultado correcto: la ventana 2026-03–06 no contuvo ninguna rotura de cable submarino a gran escala. Una verdadera rotura mayor encendería ambas señales simultáneamente; el valor del método es que discrimina — etiquetando con confianza 44 alertas (38%) como falsos positivos defendibles y aislando 7 eventos como cambios de enrutamiento que no son fallos de cable — en lugar de producir un recuento dramático en un mes tranquilo.
4. Análisis de falsos positivos (honesto)
- El embudo ya descarta el 82% de los picos brutos antes de alertar (624 → 114).
- De las alertas, 44/114 (38%) son falsos positivos defendibles — ambas señales independientes son negativas. Ahora se suprimen de las notificaciones a usuarios pero siguen visibles en el panel.
- Una regla ingenua «sonda única ⇒ falso positivo» habría sobrecontado los falsos positivos en ~45%: el refinamiento de geo-corredor reclasifica muchos como desconocido en lugar de FP confirmado, porque la ausencia de un testigo que nunca usó el cable no es evidencia.
- 56/114 alertas permanecen sin clasificar debido a la ausencia estructural de un testigo en el corredor — una limitación de cobertura de sondas, no incertidumbre del método. El clasificador está bien definido para estas alertas; los datos para evaluarlas simplemente aún no existen.
5. Limitaciones
- Geografía de sondas. Una pequeña flota fija más RIPE Atlas significa que muchos cables no tienen un segundo punto de observación en el corredor relevante; para esos la señal de consenso es estructuralmente no disponible. Ampliar la flota de sondas elimina directamente la causa estructural de la mayoría de los casos sin clasificar.
- Geo-resolución. La coincidencia de corredor es a granularidad de país desde la geolocalización de la ruta AS; algunas redes se geolocalizan mal, lo que tratamos como desconocido en vez de como discordancia.
- La atribución es geométrica. La asignación de cable es por proximidad haversine; la verificación cruzada de corredor la confirma donde existen datos de ruta (64 de 66 con datos confirmados), pero es una heurística, no una afirmación de verdad de terreno.
- Ventana tranquila. El período reportado no tuvo ninguna rotura mayor de cable; el método se valida por su discriminación, no por detectar un desastre.
6. Reproducibilidad y datos
La detección usa un umbral adaptativo calibrado a la distribución de línea base de cada ruta en lugar de un multiplicador fijo; los niveles de consenso reflejan la proporción de testigos de corredor elegibles que corroboran la degradación. La parametrización exacta se omite intencionalmente aquí y está disponible en una publicación completa próxima o a petición. El RTT bruto de cada medición y las rutas AS se conservan, de modo que el clasificador puede reejecutarse sobre todo el archivo bajo cualquier método revisado. Señales fuente: RIPE Atlas (ping + traceroute), sondas propias, y el grafo curado de cables/puntos de aterrizaje.