• No existe un mecanismo de vigilancia que observe interacciones sistémicas en el pre-despacho.
  
• Oportunidad: supervisión preventiva con analítica sobre ofertas D+1 (tras el cierre).
  
• Objetivo: Detectar anomalías y riesgos sin interferir con la operación.

• Recibir ofertas D+1 tras el cierre regulatorio y bajo reserva, con fines de IVC.
  
• Construir KPIs, reglas y alertas automáticas de pre-despacho.
  
• Respetar la prohibición de aprobación previa: sin veto ni autorización de ofertas.

• Ley 142/1994 (art. 79) y Ley 143/1994: funciones de inspección, vigilancia y control.
  
• SUI: facultad para definir formatos y exigir reportes a vigilados.
  
• Decreto 1369/2020: supervisión preventiva y alertas tempranas.
  
• CREG 024/1995 y rol de XM (CND/ASIC/LAC): confidencialidad y custodia de ofertas.

• A) Convenio SSPD–XM (recomendado)
  • Feed cifrado (snapshot + diffs) tras el cierre; sin carga a los agentes.
  • Consistente con la base de liquidación; respeta la reserva de la información.
• B) Circular Externa SSPD (post-cierre)
  • Formato único (CSV firmado) y ventana de envío posterior al cierre en el ASIC.
  • Coordinación con CREG/XM para evitar fricción con reglas de mercado.

1. Ingesta: Transfer Family (snapshot) + Kinesis (diffs) + API Gateway (alternativo).
   
2. Validación: Lambda → esquema, firma, timestamps, unicidad → /validated o /quarantine.
   
3. Curación: Glue jobs → Parquet particionado → /curated.
   
4. Consumo: Athena/QuickSight + Timestream (series KPIs) + EventBridge/SNS/SQS (alertas).
   
5. Gobernanza & Seguridad: Lake Formation + KMS + CloudTrail/Config + Security Hub.

• S3 Data Lake con zonas /raw, /validated, /curated (Object Lock y versionado).
  
• Glue Data Catalog + Lake Formation para gobierno y control de acceso.
  
• Recepción: Kinesis (streaming), API Gateway + Lambda, o Transfer Family (SFTP/FTPS/HTTPS).
  
• Validación (Lambda): esquema, firma digital, sellos de tiempo, unicidad.

• Athena (SQL sobre S3), Timestream (series temporales), Aurora (bitácoras).
  
• QuickSight: dashboards de pre-despacho.
  
• SageMaker / Lambda estadísticas: detección de anomalías.
  
• EventBridge + SNS/SQS: orquestación y entrega de alertas (personas/sistemas).

• KMS en tránsito y en reposo; VPC Endpoints y PrivateLink (feeds XM).
  
• IAM mínimo privilegio; separación de roles (ingesta/curación/consumo).
  
• CloudTrail, CloudWatch Logs, AWS Config: auditoría y trazabilidad.
  
• Security Hub, GuardDuty, Macie: monitoreo y hallazgos → EventBridge para acción.

• Campos: agente_id, recurso_id, fecha, hora(0–23), cantidad_MWh, precio_COP_MWh, tipo_oferta, zona, timestamp_envio, firma_digital.
  
• Reglas: unidades normalizadas; unicidad por (recurso, fecha, hora); sello de tiempo.
  
• Entrega CSV + archivo de firma (.sig); verificación criptográfica en la recepción.

• Primera versión funcional que entrega valor y permite aprender rápido con bajo riesgo.
  
• Nuestro MVP: ingesta validada + 3–4 KPIs + alertas básicas + dashboard QuickSight + trazabilidad completa.

• Coherencia oferta–despacho (error relativo por hora/agente/zona).
  
• Concentración (HHI horario) por zona y ΔHHI (cambio vs. referencia).
  
• Outliers de precio/cantidad vs. baseline p50/p95 por recurso y hora.
  
• Spreads vs. referencia zonal y patrones coordinados (intra-grupo).

• \(r\): recurso; \(a\): agente; \(g\): grupo empresarial; \(z\): zona; \(h\): hora.
  
• \(\mathcal{R}(z)\): conjunto de recursos en la zona \(z\).
  
• \(DP_{r,h}\): despacho programado; \(GEN_{r,h}\): energía ejecutada/medida.
  
• \(Q_{i,z,h}\): cantidad ofertada por el agente \(i\) en \(z,h\).
  
• \(P_{r,h}\): precio ofertado por recurso; \(Ref_{z,h}\): precio de referencia zonal.
  
• \(\varepsilon\): constante pequeña (p.ej., \(10^{-6}\)) para evitar división por cero.
  
• \(\mathrm{p50}(\cdot),\ \mathrm{p95}(\cdot)\): percentiles 50 y 95 de la distribución histórica.
  
• \(\mathrm{MAD}(\cdot)\): desviación absoluta mediana.

Error relativo: \[ ER_{z,h} = \frac{\sum_{r \in \mathcal{R}(z)} \left| DP_{r,h} - GEN_{r,h} \right|} {\sum_{r \in \mathcal{R}(z)} DP_{r,h} + \varepsilon} \]

• HIGH: \( ER > 0.30 \) en 1 hora sin restricción activa.
  
• CRITICAL: \( ER > 0.20 \) por \(\ge\) 3 horas o en horas pico (18–22).

• Mide concentración del mercado en una hora/zona (0–10 000). Más alto = más concentrado.
• ΔHHI (Delta HHI): cambio del HHI frente a un referente (p. ej., la misma hora del día anterior). Positivo = sube la concentración.

Definiciones: Participación horaria por agente: \[ s_{i,z,h} = \frac{Q_{i,z,h}}{\sum_{j} Q_{j,z,h} + \varepsilon} \]

HHI (escala 0–10.000): \[ HHI_{z,h} = 10{,}000 \cdot \sum_{i} s_{i,z,h}^{\,2} \]

Cambio de concentración (vs. referencia: día anterior o media móvil): \[ \Delta HHI_{z,h} = HHI_{z,h} - \widetilde{HHI}_{z,h} \]

Baseline robusto y z-score: \[ m_{r,h} = \mathrm{p50}\!\left(X^{hist}_{r,h}\right), \quad MAD_{r,h} = \mathrm{MAD}\!\left(X^{hist}_{r,h}\right) \]

z-score robusto (con ajuste de consistencia): \[ z_{r,h} = \frac{\left| X_{r,h} - m_{r,h} \right|}{1.4826 \cdot \max(MAD_{r,h}, \varepsilon)} \]

Donde \(X\) puede ser precio \(P\) o cantidad \(Q\).

Criterios típicos: outlier si \(z_{r,h} \ge 3\) y/o \(X_{r,h} > \mathrm{p95}\) (precio) o \(X_{r,h} < \mathrm{p05}\) (cantidad), sin indisponibilidad reportada.

Spread de precio frente a referencia zonal: \[ S_{r,h} = P_{r,h} - Ref_{z(h),h} \]

Simultaneidad intra-grupo (en ventana \(w\) minutos):
Define un evento de cambio para el recurso \(r\): \[ E_{r,h} = \begin{cases} 1, & \text{si } \left| P_{r,h} - P_{r,h}^{\,prev} \right| \ge \theta_p \text{ (misma dirección)} \\ 0, & \text{en otro caso} \end{cases} \]

Fracción de recursos del grupo \(g\) en \(z\) que cambian en la misma dirección: \[ \mathrm{Simul}_{g,z,h} = \frac{ \sum_{r \in \mathcal{R}_g(z)} E_{r,h} }{ \left| \mathcal{R}_g(z) \right| + \varepsilon } \]

(Severidad alta si \(\mathrm{Simul}_{g,z,h} \ge \tau\) y \(S_{r,h}\) está por encima del umbral de spread.)

• EventBridge recibe eventos (validación, KPIs, anomalías) y enruta por reglas.
  
• SNS → personas/sistemas (email, Chatbot, webhooks).
  
• SQS → workers (tickets, reportes, playbooks) con reintentos y DLQ.
  
• Buenas prácticas: esquema único de evento, idempotencia, agrupación (debounce), Scheduler post-cierre.

• GuardDuty/Macie/Security Hub → findings (ASFF).
  
• EventBridge enruta: CRITICAL → remediación automática + SNS; MEDIUM → ticket.
  
• Runbooks (Lambda/SSM): bloquear público, rotar claves, revocar roles.
  
• Todo auditado en CloudTrail/Logs con alert_id.

• Fase 0 (4–6 sem): catálogo de datos/indicadores, acuerdos de datos, seguridad.
  
• Fase 1 (6–10 sem): interoperabilidad, pipeline y KPIs iniciales.
  
• Fase 2 (Piloto 6 meses): casos de uso, alertas, ajustes con mesa técnica.
  
• Fase 3 (8–12 sem): escalamiento, manual operativo y acto administrativo.

• Comité SSPD (Delegada Energía, Jurídica, TI, Analítica) + enlace XM/ASIC.
  
• Políticas de reserva, acceso, retención y uso exclusivo para IVC.
  
• Métricas de éxito: cobertura de datos, tiempos de detección/cierre, calidad.

• Elegir Camino A (convenio XM) o B (circular SSPD) — o híbrido temporal.
  
• Aprobar MVP técnico en AWS y conformar mesa técnica interinstitucional.
  
• Borradores: convenio/circular, formato CSV, manual de seguridad/operación.

• Snapshot: “foto completa” de ofertas D+1 tras el cierre.
  
• Diffs: solo cambios (UPSERT/DELETE) respecto al snapshot.
  
• CSV firmado: archivo + firma digital (integridad y no repudio).
  
• ASIC: Administrador del Sistema de Intercambios Comerciales (XM).

• Kinesis: streaming de eventos de baja latencia.
  
• API Gateway: endpoint HTTP(s) para enviar/recibir datos.
  
• Lambda: funciones sin servidor (validaciones/ETL).
  
• Transfer Family: SFTP/FTPS/HTTPS administrado para archivos.

• S3 Object Lock: WORM (impide borrar/editar por período).
  
• Versionado S3: conserva todas las versiones.
  
• Glue Data Catalog: catálogo de tablas/datasets.
  
• Lake Formation: permisos finos sobre el data lake.

• EventBridge: bus de eventos y reglas.
  
• SNS: notificaciones (personas/sistemas).
  
• SQS: colas para procesos (reintentos, DLQ).
  
• Idempotencia/DLQ: evitar duplicados y recuperar fallos.

• Athena: SQL serverless sobre S3.
  
• Timestream: BD de series temporales.
  
• QuickSight: dashboards ejecutivos.
  
• SageMaker: ML/detección de anomalías.

• KMS: cifrado gestionado por claves.
  
• mTLS: autenticación mutua sobre TLS.
  
• PrivateLink: conexión privada entre VPCs/servicios.
  
• VPC Endpoints: acceso privado a S3/Kinesis.

• Security Hub: postura y cumplimiento.
  
• GuardDuty: detección de amenazas.
  
• Macie: datos sensibles/exposición en S3.
  
• CloudTrail/Config: auditoría y configuración.