Detección y atribución de anomalías de latencia en cables submarinos mediante validación cruzada de dos señales
Metodología
Detección y atribución de anomalías de latencia en cables submarinos mediante validación cruzada de dos señales
Evgeny Korolev - GeoCables · Nota técnica, junio de 2026 · v1.1
La aportación principal de este trabajo no es el propio detector, sino una capa de validación cruzada de dos señales que evalúa cada alerta frente a dos señales físicas independientes: un cambio en la ruta a través de los sistemas autónomos (AS-path) en el momento del evento, y si otras sondas cuya ruta atraviesa físicamente el mismo corredor de cable observan la misma degradación.
Ambas señales reflejan procesos físicos fundamentalmente distintos y son, en gran medida, independientes entre sí. Su análisis conjunto permite separar los incidentes reales a nivel de topología de cable, los cambios de enrutamiento y el ruido proveniente de una sola sonda.
Las cifras que se presentan a continuación carecen deliberadamente de dramatismo: durante el período analizado no se produjo ninguna rotura de cable a gran escala - y el método, correctamente, se abstiene de «inventar» una.
1. Datos de partida
| Elemento | Cantidad |
|---|---|
| Cables submarinos (con geometría de puntos de aterrizaje) | 703 |
| Puntos de aterrizaje (geocodificados) | 1.932 |
| Segmentos de red troncal / tramos de cable | 26.053 |
| Sondas propias (Minsk, Almaty, Tiflis, Jerusalén) + | 12 + RIPE |
| Comprobaciones de estado completadas (desde el 01/03/2026) | 168.699 |
| Cables bajo medición activa | 691 |
El método opera sobre un grafo de topología de red cuidadosamente verificado y un archivo de mediciones en continuo crecimiento.
Los valores de RTT brutos de cada medición se conservan en modo de solo escritura (append-only - principio de inmutabilidad: los nuevos registros se añaden, los antiguos nunca se eliminan ni modifican - como el diario de a bordo de un barco, que garantiza la integridad del historial), de modo que cualquier detector futuro puede ejecutarse de nuevo sobre el historial completo.
Esta propiedad no puede reconstruirse retroactivamente a partir de los mapas de cables públicos.
2. Detección (nivel base + atribución geométrica)
Cada comprobación envía un ping y realiza una traza de ruta hasta un destino próximo al punto de aterrizaje de un cable.
Una medición se considera anomalía candidata cuando su RTT supera de forma apreciable el nivel base adaptativo de esa ruta (el nivel base es la latencia estadísticamente «normal» calculada a partir del historial de mediciones - como la temperatura corporal normal: una desviación solo se registra cuando es realmente significativa).
Dichos candidatos pasan por un embudo de filtrado por etapas antes de que se emita cualquier alerta - constituye el primer nivel de supresión de falsos positivos:
| Etapa | Significado | Cantidad |
|---|---|---|
spike |
medición puntual por encima del nivel base | 624 |
anomaly_confirmed |
pico confirmado por recurrencia o datos corroboradores | 189 |
alert |
promovido a incidente en seguimiento activo | 114 |
Solo ~18% de los picos brutos (114 de 624) alcanzan el estado de alerta.
La atribución del cable es geométrica: el salto de latencia se asocia al segmento de cable más cercano mediante la distancia haversine (la fórmula de haversine - método clásico de navegación para calcular la distancia más corta entre dos puntos sobre la superficie de una esfera; empleada por los navegantes del siglo XIX y hoy en día pieza fundamental del GPS y el análisis geoespacial) entre el salto sospechoso y los puntos de aterrizaje de los cables candidatos.
3. Validación cruzada de dos señales
3.1 Señal A - Cambio de ruta AS
Cuando un cable submarino se degrada, el tráfico suele redirigirse, lo que modifica la ruta a través de los sistemas autónomos (AS-path).
Un Sistema Autónomo (AS) es una red gestionada de forma independiente bajo una única autoridad administrativa - como un gran proveedor de internet u operador en la nube. Toda la internet está formada por aproximadamente 80.000 de estos sistemas, que coordinan rutas mediante BGP - el «lenguaje diplomático» entre redes.
Para cada alerta, comparamos el AS-path antes del evento (la ruta modal para ese par sonda→destino) con la ruta en el momento del evento.
| Veredicto | Significado | Cantidad |
|---|---|---|
route_change_break |
el AS-path cambió y la latencia aumentó considerablemente en la nueva ruta | 4 |
route_change |
el AS-path cambió | 5 |
same_path |
la latencia aumentó, la ruta no cambió - compatible con congestión | 57 |
no routing history |
historial de enrutamiento insuficiente | 48 |
Durante la calibración del algoritmo, de las 66 alertas con historial de enrutamiento suficiente, solo 9 (13,6%) fueron corroboradas de forma independiente por un cambio de AS-path medido.
Una «huella digital» ingenua sobre la ruta IP bruta genera demasiado ruido: el balanceo de carga ECMP (ECMP - enrutamiento de coste igual por múltiples caminos: cuando existen varias rutas equivalentes hacia un destino, el tráfico se distribuye aleatoriamente entre ellas - como los coches repartiéndose entre los carriles de una autopista) y los tiempos de espera intermitentes producen ~18 rutas IP distintas por par sonda→destino. La señal solo se estabiliza con la huella del conjunto de AS (~1,5 distintos por par), que es lo que empleamos.
3.2 Señal B - Consenso multi-sonda con conciencia de segmento
Si solo la sonda detectora observa una degradación, la pregunta clave es si las demás sondas son testigos silenciosos o simplemente no utilizan el cable afectado.
Una sonda cuya ruta rodea el cable no es un testigo válido - su silencio no demuestra nada. Esta es la trampa lógica clásica: absentia probationis non est probatio absentiae - la ausencia de evidencia no es evidencia de ausencia.
Por ello, solo consideramos una sonda como testigo cualificado cuando su ruta AS real atraviesa geográficamente el mismo corredor de cable que la ruta de la sonda que emitió la alerta. Esta comprobación por geocorredor excluyó al 30% de los «testigos» que ingenuamente se asumían válidos bajo el criterio «mismo cable».
| Veredicto | Significado | Cantidad |
|---|---|---|
widespread |
la mayoría de los testigos del corredor también detectaron degradación - evento real de cable | 1 |
mixed |
algunos testigos del corredor detectaron degradación | 4 |
routing_event_non_cable |
la sonda fue redirigida, los testigos del corredor están sanos → evento BGP/peering, no corte de cable | 7 |
probe_specific_likely_fp |
testigos del corredor sanos, sin redirección → artefacto local | 44 |
narrow_path_event_possible |
cable de sonda única - no se puede descartar un evento puntual | 1 |
insufficient_witness_context |
ningún testigo simultáneo en el corredor - estado desconocido | 57 |
3.3 Escala de confianza
Ambas señales son en gran medida independientes: un cambio de AS-path refleja un evento topológico en la red - una interrupción física en la ruta de enrutamiento -, mientras que el consenso multi-sonda refleja la extensión geográfica de la degradación - cuán ampliamente se ha propagado el problema.
Se trata de procesos físicos fundamentalmente distintos que no tienen por qué coexistir.
Muy pocas alertas satisfacen ambos criterios simultáneamente. El resultado de su análisis combinado:
| Nivel | Definición | Cantidad (de 114) |
|---|---|---|
| Confirmación dual | cambio de AS-path y corroboración multi-sonda simultáneamente | 0 |
| Señal única | corroborado por exactamente una de las dos señales | 14 |
| Falso positivo justificado | testigos del corredor sanos y sin redirección | 44 |
| Sin clasificar (cobertura) | ningún testigo presente en el corredor - límite de cobertura de sondas, no incertidumbre del método | 56 |
El recuento de confirmaciones duales es cero, y ese es el resultado correcto: en el período marzo–junio de 2026 no se produjo ninguna rotura de cable submarino a gran escala.
Una rotura mayor real activaría ambas señales simultáneamente - igual que un terremoto se registra al mismo tiempo en varios sismógrafos independientes.
El valor del método reside en su capacidad para discriminar: clasificar con confianza 44 alertas (38%) como falsos positivos justificados e identificar 7 eventos como cambios de enrutamiento que no son fallos de cable - en lugar de generar estadísticas alarmantes en un período tranquilo.
4. Análisis de falsos positivos (sin adornos)
- El embudo de filtrado ya descarta el 82% de los picos brutos antes de emitir alertas (624 → 114).
- De las alertas, 44/114 (38%) son falsos positivos justificados - ambas señales independientes son negativas. Estas alertas ya no aparecen en las notificaciones a los usuarios, aunque siguen siendo visibles en el panel de control.
- Una regla ingenua de «una sola sonda ⇒ falso positivo» habría sobreestimado los falsos positivos en ~45%: el refinamiento por geocorredor reclasifica muchos de ellos como desconocido en lugar de falso positivo confirmado, pues el silencio de un testigo que nunca usó el cable no constituye evidencia de nada.
- 56/114 alertas permanecen sin clasificar por la ausencia estructural de un testigo en el corredor - una limitación de la cobertura de sondas, no una incertidumbre del método. El clasificador está bien definido para estas alertas; simplemente los datos para evaluarlas aún no existen.
5. Limitaciones
- Geografía de las sondas. Una flota fija reducida más (- la mayor red distribuida de medición de internet del mundo, con más de 12.000 sondas independientes en más de 180 países, operada por RIPE NCC) significa que muchos cables carecen de un segundo punto de observación en el corredor relevante; para ellos, la señal de consenso es estructuralmente inaccesible. Ampliar la flota de sondas elimina directamente la causa estructural de la mayoría de los casos sin clasificar.
- Resolución geoespacial. La correspondencia de corredores se realiza a nivel de país a partir de la geolocalización del AS-path; algunas redes presentan geolocalización incorrecta, lo que tratamos como desconocido en lugar de discrepancia.
- La atribución es geométrica. La asignación del cable se realiza por proximidad haversine; la verificación cruzada por corredor la confirma donde existen datos de ruta (64 de 66 casos confirmados), pero se trata de una heurística, no de una afirmación de verdad absoluta.
- Período de observación tranquilo. El período analizado no registró ninguna rotura de cable importante.
El método se valida por su capacidad de discriminación, no detectando un desastre - del mismo modo que la fiabilidad de un detector de humo se comprueba con humo de prueba, no con un incendio real.
6. Reproducibilidad y datos
La detección emplea un umbral adaptativo calibrado según la distribución del nivel base de cada ruta, en lugar de un multiplicador fijo; los niveles de consenso reflejan la proporción de testigos del corredor cualificados que corroboran la degradación.
La parametrización exacta se omite aquí intencionadamente y estará disponible en una publicación completa próxima o a petición. Los valores de RTT brutos y los AS-paths de cada medición se conservan, lo que permite volver a ejecutar el clasificador de principio a fin sobre el archivo completo bajo cualquier método revisado.
Fuentes de señal: (ping + traza de ruta), sondas propias y el grafo verificado de cables y puntos de aterrizaje.
El método y los datos pueden citarse con atribución.
Monitorización en tiempo real: Monitor de estado de cables. Datos actualizados a 17/06/2026 y evolucionarán a medida que el archivo crezca.
