El 23 de abril de 2026, a las 18:48 UTC, un proceso escrito en OCaml puro arrancó dentro de un satélite que orbita la Tierra cada noventa minutos. Se llama Borealis, lo construyó la empresa Parsimoni y, según sus autores, es la primera vez que un stack completo de protocolos espaciales CCSDS, implementado íntegramente en un lenguaje funcional con tipado estricto, corre fuera del laboratorio. El despliegue ocurrió a bordo del módulo ClusterGate-2 de DPhi Space, una plataforma de carga útil hospedada (hosted payload). Borealis no solo habla CCSDS: también incorpora cifrado punto a punto, autenticación de cada bundle y rotación de claves post-cuánticas mediante OTAR. Si la rotación se ejecuta con éxito en una pasada posterior, sería la primera demostración pública en órbita de OTAR post-cuántico de comando. Borealis arrancó el 23 de abril de 2026 en órbita baja sobre el módulo ClusterGate-2 de DPhi Space. Es el primer stack CCSDS implementado íntegramente en OCaml puro corriendo fuera del laboratorio. Ejecuta Bundle Protocol v7 con BPSec encriptando y autenticando cada bundle de telemetría y comandos. Soporta OTAR para rotar claves post-cuánticas ML-DSA-65 sin necesidad de reflashar el satélite. Será la primera demostración pública en órbita de OTAR post-cuántico cuando se ejecute la rotación. El binario pesa entre 5 y 10 MB, enlazado estáticamente y empaquetado como imagen Docker FROM scratch. Corre sobre un SoC ARM con 4 núcleos Cortex-A53 y 4 GB de RAM, conviviendo con otros tenants en el bus. Recoge la apuesta del keynote de KC Sivaramakrishnan en ICFP 2022 sobre OCaml 5 rumbo a la luna. El registro inicial se imprimió en el dashboard de operaciones de misión de DPhi Space. La traza confirma identificadores SCID y canales virtuales TM/TC, los índices SPI de la asociación de seguridad, las claves de sesión activas (EK y AK) y un primer ping de telemetría con estado healthy. Para los ingenieros de Parsimoni —Thomas Gazagnaire y Virgile Robles, que pasaron las navidades de 2025 trabajando en el código— ese log fue la confirmación de meses de trabajo. 2026-04-23 18:48:06 SpaceOS/Borealis (BPv7, BPSec, OTAR) by Parsimoni 2026-04-23 18:48:06 ClusterGate-2 proxy [single iteration] 2026-04-23 18:48:06 Config: scid=100, tm_vcid=0, tc_vcid=4, tm_spi=1, tc_spi=2, tm_frame_len=1115 2026-04-23 18:48:06 Session keys: EK=0x0100 AK=0x0101 active 2026-04-23 18:48:09 Telemetry health: { ... "status": "healthy" } La traza pertenece a un daemon que, desde el punto de vista del operador del satélite, no se distingue de cualquier otro servicio cliente-servidor de producción: recibe consultas de telemetría, devuelve respuestas a comandos y procesa solicitudes OTAR de rekey. Lo inusual está debajo, en el cable. Borealis ejecuta capas CCSDS sobre el bus arrendado de DPhi Space. En 2022, durante su keynote en la conferencia ICFP, KC Sivaramakrishnan repasó la década de ingeniería detrás de OCaml 5, la versión que finalmente trajo multithreading seguro y de alto rendimiento al runtime. La diapositiva final mostraba una flecha: OCaml 5 → la luna. Era una metáfora sobre el potencial del lenguaje para llegar a sistemas críticos. Cuatro años después, Parsimoni la tomó casi al pie de la letra. El equipo trabajó sobre la idea de que OCaml combina dos cosas que rara vez conviven: el rigor matemático del cálculo lambda tipado de la familia ML y un rendimiento comparable al de C o Rust en cargas reales. En un entorno donde un fallo no se parchea con un apt update, esa combinación importa más que en una API REST cualquiera. La promesa de OCaml en órbita deja de ser un slogan académico cuando aparece corriendo sobre un bus compartido con otros tenants y un enlace de descarga limitado a las pasadas del satélite. Borealis es un daemon que corre tanto en tierra como en el satélite. El protocolo de aplicación es convencional: telemetría, comandos, respuestas, OTAR. Lo distintivo es la pila por debajo. Toda la familia CCSDS —desde el framing de radio hasta Bundle Protocol y las extensiones de seguridad— está implementada en OCaml puro. Los formatos binarios viven en una librería llamada ocaml-wire que expone codecs declarativos. En ClusterGate-2 sólo se ejercita la parte alta del stack porque el satélite no tiene conectividad de red externa. El único enlace con tierra es un sistema de archivos sincronizado por DPhi: un archivo escrito en el directorio de uplink se reenvía en la próxima pasada, y el downlink funciona simétricamente. Borealis trata ese filesystem como una red tolerante a retrasos (DTN). Cada comando, respuesta, muestra de telemetría y fragmento de imagen se serializa como un bundle BPv7 y se escribe a disco; DPhi reenvía el archivo como bytes opacos. Sobre cada bundle se aplica BPSec con dos bloques de extensión: uno cifra el payload y otro lo autentica. Los números de secuencia rechazan reenvíos, y las claves precompartidas (rotadas mediante OTAR) mantienen el camino de routing fuera del perímetro de confianza. El operador del satélite ve únicamente bytes opacos: nada en el camino de routing puede leer, modificar, falsificar ni sustituir el contenido. flowchart LR SAT["Borealis a bordo"] --> BUNDLE["Bundle BPv7 + BPSec"] BUNDLE --> FS["Filesystem uplink/downlink"] FS --> DPHI["Pasarela DPhi"] DPHI --> GROUND["Estación terrena"] GROUND --> VERIFY["Verificación ML-DSA-65"] Sobre un satélite hosted-payload conviven varios tenants en un mismo bus. El aislamiento por contenedores no alcanza: un kernel Linux compartido implica que cualquier vulnerabilidad del kernel rompe la frontera entre tenants. Y los CVEs siguen apareciendo. CVE-2022-0847 (Dirty Pipe) abrió la puerta a escrituras arbitrarias en páginas cacheadas. CVE-2024-1086, el use-after-free en nf_tables, fue explotado activamente para escapes de contenedor durante 2024. En 2026 ya circulan nuevos miembros de la familia (Dirty Frag, Fragnesia y el "Copy Fail" LPE de finales de abril) que afectan a casi todas las distribuciones a la vez. En tierra, la respuesta es ejecutar el package manager y reiniciar. En órbita, parchear el kernel es un problema de entrega con su propio retraso, y a veces directamente imposible. La consecuencia es práctica: la única garantía duradera es la envoltura criptográfica alrededor de cada bundle. 📌 Nota: El cifrado y autenticación por bundle cierra el riesgo del operador, pero también el de un futuro CVE en el kernel del host. Si un atacante consigue root en el SoC, todavía no puede falsificar comandos válidos sin las claves. Un satélite vuela entre diez y quince años. Las claves de comando deben durar lo mismo, lo que las convierte en un objetivo apetecible para un adversario con paciencia. Por eso Borealis utiliza firmas ML-DSA-65, el algoritmo seleccionado por NIST en el proceso de estandarización post-cuántica (FIPS 204). Y por eso soporta OTAR (Over-The-Air Rekeying) para rotar esas claves sin necesidad de reflashar la nave. El estándar NASA-STD-1006A, conocido como Space System Protection Standard, trata la autenticación post-cuántica de comandos como un requisito y no como una opción a futuro. Borealis es una demostración temprana de cómo aterrizar ese requisito en software embarcado. Si la rotación se ejecuta con éxito en una pasada posterior, será la primera demostración pública en órbita de OTAR post-cuántico, según el equipo de Parsimoni. OTAR permite refrescar las claves post-cuánticas sin tocar el firmware. Los números del sistema son tan interesantes como la arquitectura: Hardware: SoC ARM con cuatro núcleos Cortex-A53 y 4 GB de RAM, sobre Linux. Tamaño del binario: entre 5 y 10 MB, enlazado estáticamente. Empaquetado: imagen Docker FROM scratch sin sistema base. Frecuencia de paso: el satélite huésped completa una órbita cada 90 minutos aproximadamente. Algoritmo de firma: ML-DSA-65 (FIPS 204), de la familia post-cuántica. Protocolos: CCSDS framing, BPv7 (Bundle Protocol versión 7) y BPSec. El loop principal del satélite es relativamente compacto. Para cada muestra de telemetría se construye un bundle, se le aplica protección BPSec con las claves activas y, si todo salió bien, se escribe al directorio de downlink. Si la protección falla, el bundle no abandona el satélite. Una porción simplificada del código: let send_telemetry t ~prefix payload = let bundle = make_bundle t ~source:Eid.sat_telem ~destination:Eid.ground_telem ~payload in match protect_bundle t bundle with | Ok protected -> ignore (write_bundle t ~dir:(downlink_dir t.config) ~prefix protected) | Error _ -> log t "Failed to protect telemetry bundle" La función protect_bundle aplica BPSec usando las claves de la SDLS Security Association, los parámetros criptográficos que tierra y satélite acordaron al provisionar la misión. Si cualquiera de esos pasos falla, el bundle se descarta antes de salir. El movimiento es interesante por al menos tres razones independientes. Primero, tipos de seguridad: usar un lenguaje con verificación estática estricta para implementar protocolos de seguridad reduce la clase de vulnerabilidades disponibles. No elimina los bugs lógicos, pero corta de raíz familias enteras de overflows y confusiones de tipo que históricamente afectaron stacks de red en C. Segundo, multitenancy. La economía del espacio se está moviendo hacia plataformas hospedadas donde varias cargas comparten una nave. Eso transforma cada operación criptográfica de un detalle de implementación en una pieza estructural. Borealis muestra un patrón concreto: confiar en el bus para entrega de bytes, no para confidencialidad ni integridad. Tercero, post-cuántico operacional. La industria lleva años hablando de migrar a algoritmos resistentes a computación cuántica. Verlos funcionando en un satélite real, con una capacidad demostrable de rotar claves desde tierra, es muy distinto a verlos en un benchmark de laboratorio. Para los equipos que diseñan misiones nuevas, el ejemplo es un punto de referencia técnico que antes no existía. 💡 Tip: Si estás explorando OCaml para sistemas embebidos, mirá MirageOS y los unikernels que produce el ecosistema. Borealis se apoya en el mismo conjunto de librerías funcionales que llevó OCaml a entornos sin sistema operativo. El próximo hito es ejecutar la rotación OTAR de claves ML-DSA-65 en una pasada posterior, lo que validaría que el ciclo completo de provisionamiento, distribución y reemplazo de claves funciona en órbita. Más allá del experimento puntual, el equipo ha indicado que partes del stack se publicarán para que otros operadores puedan auditar, reusar o reemplazar las piezas según su propio modelo de amenaza. Para la comunidad OCaml, el efecto cultural puede ser tanto o más relevante que el técnico. La promesa de OCaml 5 —concurrencia y rendimiento sin perder garantías de tipos— se vuelve concreta cuando aparece en un contexto donde la corrección importa de verdad. Y para los operadores de payloads hospedados, queda planteado un modelo: confiar en el bus para mover bytes, y no para protegerlos. 📖 Resumen en Telegram: Ver resumen CCSDS (Consultative Committee for Space Data Systems) es la familia de estándares de protocolos que utilizan la mayoría de las agencias espaciales para comunicación entre tierra y nave. Cubre desde framing en radio hasta capas de aplicación tolerantes a retrasos como Bundle Protocol. Rust ofrece garantías comparables de seguridad de memoria, pero OCaml aporta un sistema de tipos algebraico más expresivo y un ecosistema de verificación formal con larga trayectoria. Para un stack criptográfico, esa expresividad facilita modelar invariantes complejos sin escapes a unsafe. Han volado componentes en lenguajes funcionales en misiones previas, sobre todo en sistemas terrestres y de control. Lo nuevo en Borealis es tener todo el stack CCSDS, incluyendo seguridad de cada bundle, escrito íntegramente en OCaml puro y ejecutándose en órbita real sobre un payload hospedado. OTAR (Over-The-Air Rekeying) es el procedimiento para reemplazar claves criptográficas de un satélite sin contacto físico. La etiqueta "post-cuántico" indica que las claves rotadas usan algoritmos diseñados para resistir un eventual atacante con computación cuántica suficientemente capaz, alineado con FIPS 204 (ML-DSA). Un firmware en C puede ser más rápido en algunas microbenchmarks, pero arrastra históricamente clases enteras de vulnerabilidades de memoria y aliasing. OCaml elimina esa categoría por construcción, a cambio de un perfil de runtime con un GC que el equipo dimensionó específicamente para cargas espaciales. Thomas Gazagnaire publicó la entrada técnica en su blog personal el 14 de mayo de 2026, con el log de arranque, capturas del dashboard de DPhi Space y el contexto completo del proyecto y de su financiación. Thomas Gazagnaire — O(x)Caml in Space — anuncio original con log de arranque y arquitectura. OCaml.org — sitio oficial del lenguaje y referencia de OCaml 5 multicore. CCSDS en Wikipedia — overview de la familia de estándares de comunicación espacial. NVD: CVE-2022-0847 (Dirty Pipe) — ejemplo de vulnerabilidad del kernel Linux relevante para el modelo de amenaza. NVD: CVE-2024-1086 (nf_tables UAF) — escape de contenedor mediante use-after-free en nf_tables. 📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.