El ecosistema Python se ha convertido en uno de los pilares del desarrollo moderno, pero su apertura y velocidad también lo han transformado en un objetivo atractivo para ataques de malware, typosquatting, dependencias maliciosas y compromisos de la cadena de suministro. En este contexto, ejecutar un simple pip install ya no es una acción inocente.
En esta charla, basada en experiencia real en ciberseguridad y operación de entornos productivos, se analizarán las principales amenazas que afectan a Python y PyPI, mostrando cómo actores maliciosos explotan la confianza del ecosistema open source. A través de ejemplos concretos y casos reales, se evidenciarán riesgos que impactan tanto a desarrolladores individuales como a organizaciones empresariales.
Finalmente, se presentarán defensas prácticas y aplicables para fortalecer aplicaciones Python en distintos entornos: buenas prácticas de gestión de dependencias, controles de seguridad en pipelines CI/CD, herramientas de análisis de paquetes, principios DevSecOps y estrategias para reducir el riesgo sin frenar la innovación. El objetivo es entregar a la audiencia criterio, conciencia y acciones concretas para pasar de consumidores pasivos a defensores activos del ecosistema Python.