Spoofing: qué es la manipulación del libro de órdenes y cómo detectarla

Ves aparecer en el libro una orden de venta gigantesca, 800 contratos, justo encima del precio. Piensas que ahí hay un vendedor serio y te preparas para que el precio se gire abajo. El precio se acerca a esa orden y, en el último segundo, se esfuma. No se ejecutó: la retiraron. Acabas de ser el objetivo de un spoof. Entender el spoofing te evita operar contra fantasmas que alguien coloca a propósito para engañarte, y es una defensa básica para cualquiera que opere con order flow.

Qué es el spoofing

El spoofing consiste en colocar órdenes limitadas grandes sin ninguna intención de ejecutarlas, con el único fin de crear una impresión falsa de oferta o demanda, y cancelarlas antes de que se llenen. El manipulador enseña un muro de compra o de venta en el DOM para empujar al resto del mercado a moverse en la dirección que le conviene, y retira el muro en cuanto ha conseguido su propósito.

El caso típico: un operador quiere comprar barato. Coloca una orden de venta enorme un par de ticks por encima del precio. Los demás la ven, interpretan que hay un vendedor fuerte y venden por delante para no quedar atrapados. El precio baja, el manipulador compra a ese precio más bajo con sus órdenes reales y cancela la orden de venta falsa, que nunca pensó ejecutar.

Una variante más elaborada es el layering: en lugar de una sola orden falsa, se apilan varias a distintos niveles para reforzar la ilusión de un muro de liquidez.

El spoofing es ilegal

Conviene tenerlo claro: el spoofing está prohibido. En Estados Unidos, la ley Dodd-Frank lo tipificó expresamente y la CFTC ha impuesto multas millonarias a bancos y traders por hacerlo. En Europa, el reglamento de abuso de mercado (MAR) lo persigue igual. No es una zona gris: colocar órdenes con la intención de cancelarlas para mover el precio es manipulación de mercado sancionable.

Que sea ilegal no significa que haya desaparecido. Ocurre, sobre todo en mercados y horas de baja liquidez, donde una sola orden grande pesa más en la percepción. Por eso un operador de order flow tiene que saber reconocerlo para no comérselo.

Cómo detectar el spoofing

La diferencia entre una orden real y un spoof está en la intención, y la intención se revela en el comportamiento. Señales:

  • Órdenes grandes que aparecen y desaparecen. Un muro que se pone y se quita repetidamente según se acerca el precio, sin llegar nunca a ejecutarse.
  • Tamaño que no cuadra con el mercado. Una orden desproporcionada respecto a la liquidez habitual del instrumento a esa hora suele ser un intento de intimidar, no un interés genuino.
  • La orden se retira justo cuando el precio la va a tocar. El operador real deja que le ejecuten; el spoofer huye en el último tick.
  • Divergencia entre libro y ejecución. El DOM grita venta, pero en el footprint y la cinta no hay volumen ejecutado que respalde esa presión. Las cotizaciones mienten; los prints, no.

La regla práctica: la intención real se demuestra ejecutando, no cotizando. Una orden que no se ejecuta nunca no te está diciendo nada fiable sobre la oferta y la demanda.

Iceberg y spoofing: no los confundas

Es fácil mezclarlos porque ambos distorsionan lo que ves en el libro, pero son opuestos. La orden iceberg esconde un tamaño grande que sí quiere ejecutarse; muestra poco y hace mucho. El spoof enseña un tamaño grande que no piensa ejecutarse; muestra mucho y no hace nada. Uno oculta intención real, el otro finge intención inexistente. La forma de distinguirlos es la misma: mira el volumen ejecutado. El iceberg deja un reguero de contratos cruzados; el spoof, ninguno.

Cómo protegerte del spoofing

  1. No operes solo por lo que ves en el DOM. Trata la profundidad como una foto que puede estar trucada. Confírmala siempre con volumen ejecutado.
  2. Da peso a lo que se ejecuta, no a lo que se cotiza. El footprint, el delta y la cinta muestran transacciones reales, imposibles de falsear. Ahí es donde vive la verdad del flujo.
  3. Desconfía de los muros perfectos. Una orden enorme y redonda justo en el nivel obvio es tan conveniente que suele ser demasiado bonita para ser real.
  4. Relaciónalo con la caza de stops. El spoofing y la caza de stops suelen ir de la mano: se usa un muro falso para arrastrar al precio hacia una zona de stops y disparar liquidez.

Un ejemplo en el NQ (Nasdaq). El precio ronda 18.500 y aparece de golpe una orden de compra de 600 contratos dos ticks por debajo, cuando lo normal en el libro son 50-80 por nivel. Los cortos se asustan y recompran, el precio sube unos ticks, y en cuanto sube la orden de 600 se cancela sin haberse tocado. No hubo comprador: hubo alguien vendiendo a esos cortos asustados en el rebote que él mismo provocó.

Muro falso (spoof) sobre los stopsSe retira el muro y saltan los stopsLos que persiguieron el muro, atrapados
El spoofing y la caza de stops suelen ir juntos: el muro falso arrastra al precio hacia una zona de stops, y al saltar esos stops se genera la liquidez que el manipulador necesitaba. Los que persiguieron el muro quedan atrapados cuando el precio se gira.

Por qué el footprint es tu mejor defensa

El spoofing solo funciona en el plano de las cotizaciones, y ahí es donde tiene todo su poder. En cuanto bajas al plano de lo ejecutado, se desarma solo. Una orden falsa nunca cruza volumen, así que jamás deja rastro en el footprint ni en el delta. Por eso el hábito que más te protege es simple: cuando el DOM te muestre una presión que te tienta a operar, pregúntate cuánto volumen se ha ejecutado de verdad en esa dirección. Si el muro de venta de 800 contratos que ves no viene acompañado de venta agresiva real en las celdas del footprint, esa presión no existe fuera de la pantalla del libro. El manipulador puede pintar el libro como quiera, pero no puede falsear las transacciones que ya se han cruzado.

VENTAS AL BIDCOMPRAS AL ASK5500.00961505499.751402605499.501884205499.252109405499.001802965498.751502055498.501321685498.2524096Lectura diagonal:La compra agresiva es realel muro de 800 nunca se ejecutó→ fíate del volumen cruzadoEl libro era teatro;los prints, no.
La defensa está en las celdas: si ese muro de venta no viene acompañado de venta agresiva real en el footprint, la presión no existe fuera del libro. El manipulador pinta el DOM como quiere, pero no puede falsear el volumen ya ejecutado.

Preguntas frecuentes

¿Cómo distingo un spoof de una orden institucional de verdad?

Por la ejecución. Una orden institucional real termina cruzando volumen: la ves llenarse en el footprint y la cinta. Un spoof aparece grande, mueve la percepción y desaparece sin dejar operaciones ejecutadas. Si el muro nunca se traduce en prints, sospecha.

¿El spoofing afecta a los mercados líquidos como el ES?

Menos, porque en un mercado muy profundo una sola orden pesa poco en la percepción y hace falta un tamaño enorme para mover algo. Es más frecuente en instrumentos finos, horas de poca actividad o cripto de menor volumen, donde un muro falso engaña con más facilidad.

¿Puedo aprovecharme yo del spoofing?

No deberías: es ilegal y las bolsas detectan patrones de cancelación masiva. Lo útil para un operador de flujo no es imitarlo, sino reconocerlo para no operar contra órdenes falsas y, si acaso, entender la trampa que le están tendiendo al resto.

¿Sirve de algo mirar el DOM si puede estar manipulado?

Sí, pero como una capa más y nunca en solitario. El DOM da contexto sobre dónde hay liquidez aparente; el volumen ejecutado en el footprint y la cinta confirma si esa liquidez es real. Se leen juntos, dando prioridad a lo que de verdad se cruza.