Discover the Talks at PyCon Colombia 2026 ✨
Browse every accepted session—titles, tracks, levels, and speakers—before you plan your days in Medellín.
From Typosquatting to Infrastructure Poisoning
En 2026, la seguridad de la cadena de suministro de Python ha dejado de ser un problema de nombres mal escritos para convertirse en un campo de batalla de infraestructura. Esta charla analiza la transición técnica desde ataques simples de Typosquatting hacia el envenenamiento sofisticado de herramientas de CI/CD y entornos de ejecución. Exploraremos casos reales recientes como la campaña de TeamPCP y el compromiso de Aqua Security Trivy, analizando técnicas de persistencia mediante archivos .pth que permiten ejecución maliciosa sin necesidad de un import explícito. Finalmente, presentaremos la hoja de ruta para la defensa moderna: desde Sigstore y el PEP 740 hasta el cumplimiento de la Ley de Resiliencia Ciberactiva (CRA).
Hacking AI Agents with Python
La inteligencia artificial está evolucionando de modelos estáticos a sistemas autónomos capaces de razonar, tomar decisiones y ejecutar acciones mediante herramientas y APIs. Estos sistemas, conocidos como agentes de IA, están siendo construidos principalmente en Python. Pero con esta evolución también aparece una nueva superficie de ataque. En esta charla exploraremos cómo los agentes de IA pueden ser explotados desde una perspectiva ofensiva, utilizando Python para demostrar ataques reales como: prompt injection en pipelines de agentes, exfiltración de información a través de RAG, manipulación de decisiones mediante inputs adversarios y abuso de herramientas y APIs conectadas. A partir de estos escenarios, mostraremos cómo diseñar pruebas de seguridad (pentesting) específicas para sistemas de IA, incluyendo enfoques de caja negra, gris y blanca. La charla no solo se enfocará en ataques, sino también en cómo mitigarlos, presentando un roadmap práctico para evaluar y fortalecer sistemas de IA en producción. Esta sesión está dirigida a desarrolladores Python, data scientists y engineers que están construyendo o integrando sistemas de IA y quieren entender cómo asegurar lo que están creando.
Lecciones aprendidas reportando vulnerabilidades en el ecosistema de Python
Seguramente has recibido esa notificación indicando que debes actualizar una dependencia debido a un fallo de seguridad. Pero, ¿te has preguntado qué sucede desde que alguien descubre esa vulnerabilidad hasta que el parche llega a tu proyecto? En esta charla, compartiré mi experiencia reportando vulnerabilidades en el ecosistema de Python. Exploraremos el detrás de escena: desde el hallazgo técnico, el proceso de reporte, hasta la colaboración con los mantenedores y la publicación del parche. No solo abordaremos los aspectos técnicos, sino también el factor humano, ambos cruciales para una resolución efectiva de las vulnerabilidades. Los retos que enfrentan los mantenedores y la comunidad, sobre todo en esta nueva era de seguridad para el software open source donde la inteligencia artificial juega un papel cada vez más relevante.
STUART: Un agente hacker autónomo hecho en Python
¿Qué pasaría si le das una dirección IP a un agente de Python y le pides que encuentre las vulnerabilidades del servidor por su cuenta? Eso es exactamente lo que hice. En esta charla presento STUART, un agente autónomo de pentesting que construí con AG2 (AutoGen) y GPT-4. El agente es capaz de analizar sistemas objetivo sin intervención humana, siguiendo las primeras etapas del Cyber Kill Chain: reconocimiento e identificación de vulnerabilidades. La arquitectura es 100% Python: un AssistantAgent respaldado por GPT-4 que razona y planifica, y un UserProxyAgent con un Code Executor que interactúa directamente con el sistema objetivo. Todo orquestado por AG2, el framework open-source para construir sistemas multi-agente. La charla incluye una demostración en vivo donde STUART analizará un sistema vulnerable desplegado en Docker. Verán paso a paso cómo el agente escanea puertos, identifica servicios, detecta vulnerabilidades y reporta sus hallazgos — todo de forma autónoma, decidiendo por sí mismo qué hacer en cada paso. Te vas a llevar conocimiento práctico sobre cómo construir agentes que actúan en el mundo real con AG2, y una perspectiva concreta sobre lo que la IA ofensiva puede hacer hoy. Si un agente de Python puede encontrar tus vulnerabilidades, ¿cómo deberían prepararse los equipos de defensa? Todas las demostraciones se realizan en entornos controlados y éticos.
