Cuando un equipo acepta que necesita integridad de registros verificable de forma independiente, la siguiente pregunta es operativa, no criptográfica: ¿lo ejecutamos nosotros o que lo ejecuten por nosotros? Ambos modelos producen la misma prueba: una raíz de Merkle anclada a una cadena pública que cualquiera puede verificar. Lo que cambia es quién tiene las claves, dónde residen los datos y quién lleva el busca. Esta guía expone las disyuntivas para que llegues a la conversación de compra sabiendo ya qué modelo encaja.
Los dos modelos en un párrafo cada uno
Autogestionado significa que la plataforma de integridad se ejecuta dentro de tu propia infraestructura: tu clúster de Kubernetes, tu cuenta de nube o centro de datos, tu servicio de gestión de claves. Tú la operas; el proveedor licencia el software y te da soporte. Gestionado significa que el proveedor ejecuta la plataforma como una instancia dedicada y de un solo inquilino en su infraestructura, y tú integras contra una API. En ambos casos el destino de anclaje es la misma cadena pública, y las pruebas las pueden verificar terceros en cualquiera de los dos modelos.
El instinto de que lo autogestionado es «más seguro» y lo gestionado es «más fácil» es demasiado grueso para decidir. La decisión real gira en torno a cuatro ejes concretos, y para la mayoría de las organizaciones uno o dos de ellos dominan.
Los cuatro ejes que realmente lo deciden
Puntúa tu situación en cada uno. Si alguno es una restricción dura, normalmente zanja la cuestión por sí solo:
- Residencia de datos — si una norma o un contrato exige que los datos de los registros nunca salgan de tu entorno o de una jurisdicción concreta, lo autogestionado elimina la pregunta por completo. Lo gestionado a menudo puede cumplir la residencia con instancias dedicadas regionales, pero pasa a ser una cláusula que negociar en vez de un hecho arquitectónico.
- Custodia de claves — quién tiene la clave de firma es el verdadero límite de seguridad. Lo autogestionado la mantiene en tu KMS bajo tu IAM. Lo gestionado la guarda en un KMS aislado y de un solo inquilino en tu nombre. Si «debemos ser la única parte que pueda tener la clave» es innegociable, eso apunta a autogestionado.
- Capacidad operativa — autogestionado implica operar un firmante con alta disponibilidad, gestionar la rotación de claves y fijar los paquetes de prueba en IPFS. Si no tienes un equipo de plataforma con capacidad libre, lo gestionado convierte esas obligaciones en el SLA de otro.
Qué refleja la diferencia de precio
Los dos modelos tienen precios distintos porque la estructura de costes es distinta, no porque uno sea un descuento del otro. Lo gestionado incluye la infraestructura, la disponibilidad y la mano de obra operativa. Lo autogestionado es una licencia sobre software que tú ejecutas en hardware que ya pagas.
Lo autogestionado tiene un precio de lista mayor precisamente porque no incluye las operaciones que asumes tú mismo, y porque los compradores que lo exigen suelen ser los de mandatos más estrictos de residencia y custodia. Si tu motor es solo el coste, lo gestionado casi siempre es el menor coste total de propiedad una vez que valoras con honestidad tu propia mano de obra operativa.
Cómo fluye la decisión en la práctica
Para la mayoría de los equipos el camino es corto. Recorre los ejes en orden y detente en la primera restricción dura:
Un banco regulado con una política de «los datos se quedan en nuestro entorno» aterriza en autogestionado antes de que el coste entre en la conversación. Una scale-up de salud que quiere la garantía de integridad sin levantar otro servicio de alta disponibilidad aterriza en gestionado y negocia un BAA. La mayoría de las organizaciones son uno de estos dos casos; los intermedios son donde ayuda una conversación real.
Qué perfil encaja con qué modelo
Como mapa aproximado —no una regla— los perfiles regulados tienden a agruparse:
- Autogestionado encaja con — grandes bancos, administración pública y cualquier entidad con mandatos absolutos de residencia o custodia única de claves y un equipo de plataforma capaz.
- Gestionado encaja con — scale-ups de fintech y salud, equipos de auditoría y cumplimiento, y cualquiera que quiera la garantía sin operar otro servicio con estado.
- Cualquiera sirve para — empresas del mid-market con requisitos moderados — aquí la decisión es genuinamente de coste y preferencia, y un piloto la resuelve más rápido.
Trae la respuesta, no la pregunta
Como ambos modelos son solo bajo presupuesto, la conversación más rápida es aquella en la que ya conoces tus restricciones de residencia y custodia de claves y tu capacidad operativa. Con esas tres respuestas en mano, el modelo de despliegue suele ser obvio en una frase, y lo que queda por hablar es volumen y plazos, no arquitectura. Si de verdad estás entre los dos, un piloto acotado sobre la instancia gestionada es la forma más barata de aprender qué necesitas realmente antes de comprometerte a operarlo tú mismo.
Ambos modelos producen la misma prueba. La decisión no es de criptografía — es sobre quién tiene la clave, dónde residen los datos y quién lleva el busca.