"Un bot que todos los días busque oportunidades y ejecute dentro de mis límites."

Ese fue el pedido. Perfil de inversor arriesgado, 10% del patrimonio, base en Argentina, acceso a Binance, exchanges locales y broker bursátil.

La respuesta honesta empieza por una mala noticia: los bots que "ganan todos los días" prediciendo el mercado pierden plata en más del 90% de los casos retail. Los mercados son no-estacionarios: lo que un modelo aprendió el trimestre pasado deja de valer el próximo. La buena noticia: existe otra categoría de estrategia que no necesita predecir nada.

Oportunidades estructurales, no direccionales.

Las ineficiencias existen por fricciones reales: regulación, apalancamiento ajeno, fronteras, costos de mover capital. Mientras la fricción exista, la ineficiencia paga. Y Argentina — con su historia cambiaria — es una fábrica de fricciones.

Disciplina automatizada > genialidad esporádica.

El valor de FARO no está en una estrategia secreta. Está en cuatro virtudes que un humano no puede sostener y una máquina sí:

El criterio es configuración, nunca código.

Cuánto invertir, cuándo entrar, cuándo salir y cuándo no hacer nada: todo es un parámetro que el inversor define y puede cambiar — el código implementa mecanismos, la configuración define políticas.

Este principio reaparece en cada decisión técnica de la Parte 2: configuración versionada con marcha atrás, auditoría inmutable, y un módulo de aprendizaje que sugiere cambios pero jamás los aplica solo.

Arbitraje: comprar a $1.514 y vender a $1.530 en el mismo segundo.

Si el dólar digital (USDT) cotiza distinto en dos plataformas argentinas, comprarlo donde está barato y venderlo donde está caro simultáneamente fija una ganancia sin exposición al precio. La clave operativa: tener capital pre-posicionado en ambas puntas (pesos en A, USDT en B) para que las dos órdenes salgan en el mismo instante. Después se rebalancea con calma.

ganancia_neta = spread − fee_compra − fee_venta − rebalanceo_prorrateado
# con fees de 0,1–0,5% por punta ⇒ umbral mínimo ~0,8% neto
# y ganancia mínima absoluta: USD 5 por ventana (si no, no vale el riesgo operativo)

La advertencia honesta: el cruce ejecutable real (mejor precio comprable vs. mejor vendible) pasa la mayor parte del tiempo cerrado. Las ventanas se abren con volatilidad, saltos del dólar y fines de semana — por eso la vigilancia 24/7 no es un lujo, es la condición de entrada.

Delta-neutral: ganar aunque no sepas si sube o baja.

Una posición delta-neutral combina una compra y una venta del mismo activo en mercados distintos, de modo que las subas y bajas se cancelan entre sí. Lo que queda es el flujo que la estructura paga.

La tasa de financiación, medida en el mundo real.

¿Y por qué la mayoría pierde igual? Por ejecución, no por concepto: no contabilizan los fees de entrada y salida, no monitorean el delta en tiempo real, entran sin mirar la profundidad del libro y pagan slippage, y mueven capital entre exchanges en el momento de operar. Cada una de esas causas de fracaso es un requisito de diseño de FARO.

El riesgo real del motor: funding negativo prolongado (el flujo se invierte). Respuesta: señal de salida automática tras N períodos negativos. Se sale y listo.

Carry trade: la tasa en pesos cuando le gana a la devaluación.

Colocar pesos a tasa fija (Lecaps, cauciones) rinde en dólares cuando la tasa supera con margen a la devaluación del período. En 2026 el número fue elocuente: ~18% en USD acumulado en el primer semestre, con Lecaps al 31–37% TNA contra inflación esperada del ~21%.

Cuatro fuentes de renta, cero predicción.

Cada fila es un "motor" del sistema. El Módulo 3 los recorre uno por uno con sus números y condiciones.

Tasa de financiación cripto (cash-and-carry).

Motor 2: carry táctico. Motor 3: el capital nunca duerme.

Arbitraje dólar cripto local: el cazador de ventanas.

USDT/USDC/DAI cotizan distinto en cada plataforma argentina (Binance P2P, Lemon, Ripio, Buenbit, Belo, LetsBit...). Los bots internacionales no pueden operar CVUs argentinas — esta fricción es nuestra. La fuente de datos es la API pública de CriptoYa: toda la matriz compra/venta en un request.

M5: mercados de predicción. M6: el puente TradFi.

Cinco "no" que valen tanto como los seis "sí".

El filtro común de supervivencia: ventaja concreta (estructural, geográfica o tecnológica) + riesgo acotable por configuración. Lo que no pasa ese filtro, no entra — por más lindo que sea el número.

Cada oportunidad recibe un puntaje de 0 a 100.

El sistema califica cada oportunidad combinando retorno neto, liquidez, repetibilidad, riesgos operacional y de contraparte, facilidad de salida, cumplimiento y la salud histórica del motor — con pesos que define el inversor. El puntaje gradúa la autonomía:

*La ejecución automática solo existe si el inversor habilitó ese modo, dentro de los límites duros, y el puntaje jamás puentea al guardián de riesgo: son dos verificaciones en serie, no alternativas.

Esta idea — adoptada del contraste con un diseño independiente del mismo sistema — convierte la pregunta binaria "¿opero o no?" en una escala de confianza medible y configurable.

Modo seguro (ámbar) y detención total (rojo).

El sistema vive en estados explícitos: OBSERVE → PAPER → MANUAL_APPROVAL → AUTO_LIMITED es la progresión de confianza (cada paso requiere evidencia y aprobación humana). Y desde cualquier estado se puede caer a dos frenos:

Toda transición queda registrada: estado anterior, nuevo, causa y origen. Frenar es siempre seguro; acelerar nunca es automático.

Los límites no son intenciones: son software.

Cada orden pasa por el guardián de riesgo antes de existir. Si excede un límite, la orden no se crea — y el rechazo también queda registrado, porque los "no" del sistema son datos.

El sistema sugiere. La configuración decide.

Sobre la memoria del ledger, un módulo de aprendizaje propone mejoras con evidencia — nunca inventa estrategias ni predice precios. Tres niveles:

Cada propuesta llega al panel con su evidencia e impacto estimado; el inversor aprueba o rechaza con un toque, y el propio módulo construye un track record medible (¿cuántas de sus sugerencias aprobadas terminaron bien?) antes de ganar cualquier autonomía. La salud por motor (0-100, calculada de resultados reales) cierra el círculo: salud baja → recomendar pausa; salud alta → sugerir más capital.

Cinco fases, cada una se gana con datos.

El inventario honesto de riesgos.

Y el meta-riesgo: el exceso de confianza. Por eso ninguna fase se saltea, ningún motor escala sin evidencia, y el botón rojo siempre está a un toque de distancia — en el panel, en Telegram y en la terminal.

El core necesita procesos que no mueren.

# topología en una línea
[Operador] ──WireGuard──▶ [EC2: faro.service + Postgres + API:8420 solo wg0]
[Operador] ──HTTPS+Access──▶ [Cloudflare Pages: cockpit] ──túnel──▶ API
[EC2] ──egress HTTPS/WSS──▶ Binance · CriptoYa · Telegram · (Polymarket obs.)

La superficie de ataque es un solo puerto UDP.

• Security Group entrante: solo UDP/51820 (WireGuard). SSH únicamente vía el túnel, con SSM como respaldo de emergencia.
• La API del núcleo bindea exclusivamente a la interfaz wg0 (10.0.0.1:8420) — desde internet ese puerto no existe.
• Postgres en localhost, backups diarios pg_dump | zstd a S3 con restore probado.
• Secretos en /etc/faro/faro.env (0600), jamás en el repo ni en la config. Logs sin secretos ni balances totales.
• API keys de exchange: sin permiso de retiro + IP whitelist a la Elastic IP + verificación de permisos en el arranque del ejecutor (assert: si la key puede retirar, el sistema no arranca).
• Reloj vigilado: chrony sincronizado es precondición (los funding times dependen de él); drift > 2 s ⇒ SAFE_MODE.

Cada módulo hace una cosa y se puede testear solo.

Un tick: leer, evaluar, registrar, avisar.

async def tick(motor: Motor):
    cfg = config.actual()                    # snapshot inmutable
    if estado_global.frena() or not cfg[motor].activo:
        return
    obs = await motor.scanner.fetch()        # I/O — único punto de red
    await ledger.observaciones.guardar(obs)  # idempotente (motor, ts_ciclo)
    eventos = evaluator.evaluar(obs, cfg[motor], signals.estado(motor))
    for ev in eventos:
        ev.score = scoring.calcular(ev, cfg.scoring)   # 0-100
        op = await ledger.oportunidades.aplicar(ev)    # + config_version_id
        await notify.señal(op)                         # dedup interno
    # F3+: decisión → riskguard.check() → executor.enviar(intent)

Concurrencia: cada motor es una corrutina supervisada — su excepción lo lleva a degradado (backoff + alerta) sin tocar al resto. Un watchdog vigila el último tick de cada uno. Fallar cerrado: timeout reintenta y degrada; payload inválido descarta el tick; config corrupta mantiene la vigente; DB caída bufferea acotado y pausa si desborda.

Una config inválida no arranca el sistema.

# config.yaml (extracto) — el criterio completo del inversor
capital:
  tope_por_operacion_usd: 500
  max_desplegado_pct: 70        # reserva permanente del 30%
riesgo:
  perdida_diaria_maxima_pct: 2   # ⇒ SAFE_MODE
  perdida_semanal_maxima_pct: 5  # ⇒ KILLED
scoring:
  umbral_alerta: 70 · umbral_manual: 80 · umbral_auto: 90
  pesos: { retorno_neto: 0.25, liquidez: 0.15, ... }  # suman 1.0 — validado
motores:
  funding_binance: { activo: true, modo: observacion, umbral_entrada_apr_pct: 12 }

• Campos desconocidos ⇒ error: los typos no pasan en silencio.
• Coherencia validada: salida < entrada; pesos suman 1.0; en fase 1 ningún motor puede ser real.
• Versiones inmutables con checksum: draft → validar → diff → aplicar → rollback en un paso. Cada oportunidad queda sellada con su config_version_id.
• Recarga en caliente atómica: si el YAML nuevo es inválido, la config vigente sigue y se alerta.

Transiciones explícitas, disparadores automáticos.

OBSERVE → PAPER → MANUAL_APPROVAL → AUTO_LIMITED   # progresión: gate + humano
   ↘──────────↘────────↘──────────↙
            SAFE_MODE   # pérdida diaria · clock drift · racha API · depeg
                        # cancela órdenes, solo-lectura, PUEDE auto-recuperarse
               ↓ si la causa escala
            KILLED      # pérdida semanal/mensual · mismatch conciliación · config corrupta
                        # JAMÁS se reanuda sin humano + confirmación

Implementación: enum + tabla de transiciones válidas; cada cambio inserta en system_state_log (anterior, nuevo, causa, origen). Los disparadores son verificaciones al inicio de cada tick y en el pipeline de ejecución. Tests obligatorios: transiciones inválidas rechazadas, KILLED irrecuperable sin acción humana, SAFE_MODE auto-recuperable solo cuando el healthcheck de la causa sana.

La fórmula del motor central.

# cadencia real del par (8h / 4h / 1h) desde exchange info
intervalos_dia = 24 / horas_intervalo
apr_bruto = funding_rate * intervalos_dia * 365 * 100

# fees ida+vuelta amortizadas en el horizonte mínimo de tenencia (default 7 días)
fee_total = taker_spot*2 + taker_perp*2
apr_neto  = apr_bruto - fee_total * (365 / horizonte_dias)

# señal con persistencia anti-ruido
abrir  = apr_neto ≥ umbral_entrada, sostenido N ciclos,
         con profundidad_libro ≥ mínimo para el monto (ambas patas)
cerrar = apr_neto ≤ umbral_salida (misma persistencia)
         o funding negativo ≥ periodos_configurados

La profundidad se mide sumando niveles del libro hasta cubrir el monto en spot y perp; el precio efectivo resultante alimenta el modelo de slippage de la Fase 2. Todo esto vive en el evaluador: función pura, fixtures, cero I/O.

La matriz argentina, neta de verdad.

# CriptoYa: totalAsk/totalBid ya incluyen el fee del exchange;
# fees_por_exchange_pct ajusta residuales medidos
ask_A = totalAsk_A * (1 + fee_extra_A/100)
bid_B = totalBid_B * (1 - fee_extra_B/100)
spread_neto = (bid_B / ask_A - 1) * 100

# matriz completa: ∀ (A,B) A≠B por moneda + cruces stable-vs-stable intra-exchange
señal si spread_neto ≥ ventana_minima  and  ganancia_est ≥ 5 USD
ganancia_est = monto_referencia * spread_neto/100

El ciclo (60 s) registra la matriz completa en cada pasada, no solo las señales: la historia de cuándo y cuánto se abre el mercado es el insumo de la compuerta de Fase 1 ("¿cuántas ventanas > 0,8% hubo y cuánto duraron?" debe responderse con una query). Los motores no se llaman entre sí: el M2 lee el dólar cripto del M4 a través del ledger.

Once tablas, tres reglas.

score = Σ peso_i × subscore_i — con cada normalizador testeado.

El evaluador de cada motor emite métricas heterogéneas (APR, spread, edge). La capa de scoring las mapea a subscores 0-100 documentados: retorno_neto contra percentiles históricos del propio ledger; liquidez como profundidad vs. monto; repetibilidad como frecuencia histórica de esa oportunidad; salud_estrategia desde el StrategyHealthScore (neutro en 50 hasta la Fase 5).

• Gates: ≥70 notifica · ≥80 propone (requiere estado MANUAL_APPROVAL+) · ≥90 elegible para auto (solo AUTO_LIMITED).
• En serie con el RiskGuard, nunca en paralelo: un score de 95 con un límite excedido es una orden que no existe.
• Pesos en config (suman 1.0, validado) — el inversor puede hacer al sistema más sensible a liquidez, a riesgo de contraparte, o a lo que su perfil pida.

La API del núcleo y el control móvil.

GET  /v1/estado · /motores · /oportunidades
GET  /v1/metricas/diarias · /observaciones/serie
GET  /v1/config · /config/audit
POST /v1/pausa · /reanudar · /config/reload
PATCH /v1/motores/{m}        # on/off — única mutación F1
# F5: GET/POST /v1/recomendaciones[/{id}/aprobar]

Cockpit: del monitoreo a la decisión.

Técnica: Astro SSG + islas mínimas con refresh de 30 s, chart.js, sin framework de estado — los datos viven en la API. Habilitar AUTO_LIMITED o trading real exige doble confirmación en la UI. Design tokens: navy #0E1B2C · teal #0FA3A3 · gold #D9A441 · alert #A8362A.

Un servicio que vuelve solo después de cada reinicio.

[Service]
User=faro  Group=faro                  # usuario de sistema sin shell
EnvironmentFile=/etc/faro/faro.env     # 0600 — secretos fuera del repo
ExecStart=/opt/faro/.venv/bin/python -m faro --config /etc/faro/config.yaml
Restart=on-failure  RestartSec=5
MemoryMax=1G  NoNewPrivileges=yes  ProtectSystem=strict

• deploy/install.sh idempotente: usuario, venv, migraciones, unit, arranque. update.sh: pull → install → migrate → restart → verificación de salud.
• Healthcheck por timer systemd cada 5 min contra /v1/estado; fallo ⇒ restart + alerta.
• Logs estructurados (structlog → JSON) a journald; backups diarios a S3 con lifecycle.

Cinco minutos por día, cinco playbooks escritos.

SPECs en orden, criterios de aceptación, y el repo manda.

faro/
├── CLAUDE.md      # 7 principios inquebrantables
├── MODEL.md       # el contexto de negocio (Parte 1)
├── SETUP-EC2.md   # la instancia, paso a paso
├── config/config.example.yaml
├── specs/SPEC-01..10 + ROADMAP.md
└── docs/ARQUITECTURA.md + RUNBOOK.md