La trazabilidad de un procedimiento se mide por dos cosas: si todo lo que ocurre queda registrado, y si lo registrado puede alterarse a posteriori. Los logs append-only con encadenamiento por hashes resuelven ambas dimensiones de forma elegante: cada acción se registra y cualquier modificación posterior produce una inconsistencia matemática detectable de inmediato.
Append-only: registros que no se reescriben
«Append-only» significa que sólo se permite añadir entradas, nunca modificar ni borrar las existentes. Si una entrada estaba mal, se corrige con una nueva entrada que rectifica la anterior, dejando el histórico intacto. Es una decisión arquitectónica simple cuya consecuencia probatoria es enorme: el log refleja literalmente lo que ocurrió, sin reinterpretaciones posteriores.
Encadenamiento por hashes
Cada entrada incluye, además de su contenido, el hash de la entrada anterior. Así, si alguien intentase modificar una entrada antigua sin más, el hash que la siguiente entrada guardó dejaría de coincidir y la cadena rompería. Para alterar el histórico habría que recalcular todos los hashes posteriores, una operación detectable porque las copias anteriores del log ya estarían publicadas o respaldadas.
Qué se registra exactamente
- Quién (usuario y rol) realizó la acción.
- Cuándo (timestamp con sello de tiempo).
- Qué tipo de acción (alta de bien, modificación, cierre de preferencias, sorteo, adjudicación...).
- Estado anterior y posterior, cuando aplica, en formato compacto.
- Hash de la entrada anterior, cerrando la cadena.
Verificación periódica
Una rutina automática recorre el log periódicamente y valida la cadena de hashes. Cualquier ruptura escala como incidencia inmediata. Para máximo rigor, una huella global del log (root hash) se publica diariamente en un registro externo (por ejemplo un anclaje en cadena pública o un sello de tiempo cualificado), de forma que ni siquiera el operador de la plataforma pueda reescribir el histórico sin que sea detectable.