Preguntas para Entrevistas de Desarrollador Backend Senior (Python): Guía Completa

Introducción

Esta guía exhaustiva contiene 30 preguntas esenciales para entrevistas que cubren el desarrollo backend avanzado en Python. Estas preguntas están diseñadas para ayudar a los desarrolladores backend senior a prepararse para las entrevistas, abarcando conceptos clave en Python avanzado, diseño de sistemas, optimización de bases de datos y seguridad. Cada pregunta incluye una respuesta detallada, una evaluación de rareza y una calificación de dificultad.

Como desarrollador senior, se espera que no solo conozcas el "cómo", sino también el "por qué" y las ventajas y desventajas involucradas en tus decisiones técnicas.

Conceptos Avanzados de Python (8 Preguntas)

1. ¿Cómo funciona la gestión de memoria de Python y cuál es el papel del Recolector de Basura?

Respuesta: Python utiliza un heap privado para gestionar la memoria, donde se almacenan todos los objetos y estructuras de datos. El programador no puede acceder a este heap directamente; es gestionado por el administrador de memoria de Python.

• Conteo de Referencias: El mecanismo principal. Cada objeto tiene un conteo de referencias. Cuando llega a cero, la memoria se desasigna.
• Recolector de Basura (GC): Maneja las referencias cíclicas que el conteo de referencias no puede capturar. Se ejecuta periódicamente para encontrar y limpiar estos ciclos.
• GC Generacional: El GC de Python divide los objetos en tres generaciones (0, 1, 2). Los objetos nuevos comienzan en la generación 0. Si sobreviven a una recolección, se mueven a la siguiente generación. Las generaciones más antiguas se recolectan con menos frecuencia para mejorar el rendimiento.

Rareza: Común Dificultad: Difícil

2. Explica el Bloqueo Global del Intérprete (GIL) y su impacto en la concurrencia. ¿Cómo lo evitas?

Respuesta: El GIL es un mutex que protege el acceso a los objetos de Python, evitando que múltiples hilos nativos ejecuten bytecodes de Python simultáneamente. Esto hace que CPython sea seguro para hilos, pero limita los programas vinculados a la CPU a un solo núcleo.

• Impacto: El multihilo es efectivo para tareas vinculadas a E/S (esperando la red/disco) pero no para tareas vinculadas a la CPU (cálculo pesado).
• Evitar el GIL:
  1. Multiprocesamiento: Utiliza el módulo multiprocessing para crear procesos separados, cada uno con su propio intérprete de Python y espacio de memoria.
  2. Extensiones en C: Escribe código crítico para el rendimiento en C/C++ y libera el GIL mientras se ejecuta.
  3. Intérpretes Alternativos: Utiliza Jython o IronPython (que no tienen GIL), aunque CPython es el estándar.

Rareza: Muy Común Dificultad: Difícil

3. ¿Qué son las Metaclases en Python y cuándo deberías usarlas?

Respuesta: Una metacase es "la clase de una clase". Así como una clase define el comportamiento de una instancia, una metacase define el comportamiento de una clase. En Python, las clases también son objetos, y son instancias de type (la metacase predeterminada).

• Uso: Puedes interceptar la creación de clases para modificar la clase automáticamente.
• Casos de Uso:
  • Registrar clases automáticamente (por ejemplo, para plugins).
  • Aplicar estándares de codificación (por ejemplo, asegurar que todas las clases tengan docstrings).
  • Implementación del patrón Singleton.
  • Los frameworks ORM (como Django) las usan para mapear los atributos de la clase a los campos de la base de datos.

Ejemplo:

class Meta(type):
    def __new__(cls, name, bases, dct):
        x = super().__new__(cls, name, bases, dct)
        x.attr = 100
        return x

class MyClass(metaclass=Meta):
    pass

print(MyClass.attr) # 100

Rareza: Poco Común Dificultad: Difícil

4. Explica la diferencia entre __new__ y __init__.

Respuesta:

• __new__: Un método estático responsable de crear una nueva instancia de una clase. Es el primer paso en la creación de la instancia. Devuelve la nueva instancia. Rara vez lo sobrescribes a menos que estés subclasificando tipos inmutables (como str, int, tuple) o implementando un Singleton.
• __init__: Un método de instancia responsable de inicializar la instancia creada. Se llama después de __new__. No devuelve nada.

Rareza: Media Dificultad: Media

5. ¿Cómo funciona asyncio en Python? Explica el Bucle de Eventos.

Respuesta: asyncio es una biblioteca para escribir código concurrente utilizando la sintaxis async/await. Utiliza un modelo de multitarea cooperativa de un solo hilo.

• Bucle de Eventos: El núcleo de asyncio. Ejecuta tareas asíncronas y callbacks, realiza operaciones de E/S de red y ejecuta subprocesos. Cambia entre tareas cuando están esperando E/S (usando await), permitiendo que otras tareas se ejecuten mientras tanto.
• Corrutinas: Funciones definidas con async def. Se pueden pausar y reanudar.

Rareza: Común Dificultad: Difícil

6. ¿Qué son los Decoradores de Python y cómo puedes crear un decorador que acepte argumentos?

Respuesta: Los decoradores son funciones que modifican el comportamiento de otras funciones o clases. Para aceptar argumentos, necesitas una estructura de función anidada de tres niveles.

Ejemplo:

def repeat(num_times):
    def decorator_repeat(func):
        def wrapper(*args, **kwargs):
            for _ in range(num_times):
                result = func(*args, **kwargs)
            return result
        return wrapper
    return decorator_repeat

@repeat(num_times=3)
def greet(name):
    print(f"Hola {name}")

greet("World")

Rareza: Media Dificultad: Media

7. Explica el concepto de Gestores de Contexto y la declaración with.

Respuesta: Los gestores de contexto te permiten asignar y liberar recursos precisamente cuando lo deseas. El uso más común es la declaración with.

• Mecanismo: Implementan los métodos __enter__ y __exit__.
  • __enter__: Configura el contexto y devuelve el recurso.
  • __exit__: Limpia el recurso (cierra el archivo, libera el bloqueo) incluso si ocurre una excepción.
• contextlib: El decorador @contextmanager te permite crear gestores de contexto usando generadores.

Rareza: Común Dificultad: Fácil

8. ¿Cuál es la diferencia entre @staticmethod y @classmethod?

Respuesta:

• @staticmethod: No recibe un primer argumento implícito (ni self ni cls). Se comporta como una función regular pero pertenece al espacio de nombres de la clase. Se utiliza para funciones de utilidad que no necesitan acceso al estado de la clase o de la instancia.
• @classmethod: Recibe la clase (cls) como el primer argumento implícito. Puede acceder al estado de la clase y modificarlo. Comúnmente utilizado para métodos de fábrica que crean instancias de la clase de diferentes maneras.

Rareza: Común Dificultad: Fácil

Diseño de Sistemas y Arquitectura (8 Preguntas)

9. ¿Cómo diseñarías un Acortador de URLs (como bit.ly)?

Respuesta: Esta es una pregunta clásica de diseño de sistemas.

• Requisitos: Acortar URLs largas, redirigir URLs cortas a las originales, alta disponibilidad, baja latencia.
• Base de Datos: Un almacén de clave-valor (NoSQL) como DynamoDB o Redis es adecuado para búsquedas rápidas. Una base de datos relacional también está bien, pero podría necesitar escalamiento.
• Algoritmo:
  • Codificación Base62: Convierte un ID único (entero de incremento automático) a Base62 (a-z, A-Z, 0-9).
  • Hashing: MD5/SHA256 de la URL, toma los primeros 7 caracteres (riesgo de colisión).
• Escalamiento:
  • Caching: Redis/Memcached para almacenar en caché las redirecciones populares (regla 80/20).
  • Balanceo de Carga: Distribuir el tráfico a través de múltiples servidores web.
  • Particionamiento de la Base de Datos (Sharding): Particionar los datos en función del prefijo de la URL corta.

Rareza: Muy Común Dificultad: Difícil

10. Explica el Teorema CAP.

Respuesta: En un almacén de datos distribuido, solo puedes garantizar dos de los siguientes tres: consistencia, disponibilidad y tolerancia a la partición:

• Consistencia (C): Cada lectura recibe la escritura más reciente o un error.
• Disponibilidad (A): Cada solicitud recibe una respuesta (sin error), sin la garantía de que contenga la escritura más reciente.
• Tolerancia a la Partición (P): El sistema continúa operando a pesar de que una cantidad arbitraria de mensajes se pierdan (o se retrasen) por la red entre los nodos.
• Realidad: En un sistema distribuido, P es obligatoria. Debes elegir entre CP (Consistencia sobre Disponibilidad) y AP (Disponibilidad sobre Consistencia).

Rareza: Común Dificultad: Media

11. Arquitectura de Microservicios vs. Monolítica: ¿Cuándo elegir cuál?

Respuesta:

• Monolito: Un solo código base, una sola unidad de despliegue.
  • Pros: Simple de desarrollar/probar/desplegar inicialmente, depuración más fácil, sin latencia de red entre los componentes.
  • Contras: Difícil de escalar partes específicas, acoplamiento fuerte, bloqueo tecnológico, tiempos de compilación largos.
  • Caso de Uso: Startups en etapa temprana, aplicaciones simples, equipos pequeños.
• Microservicios: Colección de servicios pequeños e independientes que se comunican a través de APIs.
  • Pros: Escalamiento independiente, tecnología agnóstica por servicio, aislamiento de fallos, más fácil para grandes equipos trabajar en paralelo.
  • Contras: Operaciones complejas (despliegue, monitorización), latencia de red, desafíos de consistencia de datos (transacciones distribuidas).
  • Caso de Uso: Sistemas grandes y complejos, equipos de escalamiento rápido, necesidad de escalamiento independiente.

Rareza: Común Dificultad: Media

12. ¿Qué es el Balanceo de Carga y cuáles son los diferentes algoritmos?

Respuesta: El balanceo de carga distribuye el tráfico de red entrante a través de múltiples servidores para asegurar que ningún servidor soporte demasiada carga.

• Algoritmos:
  • Round Robin: Distribuye las solicitudes secuencialmente.
  • Least Connections: Envía la solicitud al servidor con la menor cantidad de conexiones activas.
  • IP Hash: Utiliza la IP del cliente para determinar qué servidor recibe la solicitud (útil para la persistencia de la sesión).
• Tipos:
  • L4 (Capa de Transporte): Basado en IP y Puerto (más rápido).
  • L7 (Capa de Aplicación): Basado en el contenido (URL, cookies, encabezados) (más inteligente).

Rareza: Común Dificultad: Media

13. ¿Cómo manejas el Caching en un sistema backend?

Respuesta: El caching almacena copias de datos en una ubicación de almacenamiento temporal para un acceso más rápido.

• Capas:
  • Lado del Cliente: Caching del navegador.
  • CDN: Almacena en caché los activos estáticos más cerca del usuario.
  • Balanceador de Carga/Proxy Reverso: Varnish, Nginx.
  • Aplicación: En memoria (local) o Distribuido (Redis/Memcached).
  • Base de Datos: Caché de consultas.
• Estrategias:
  • Cache-Aside (Carga Perezosa): La aplicación verifica la caché; si falla, lee la base de datos y actualiza la caché.
  • Write-Through: La aplicación escribe en la caché y en la base de datos sincrónicamente.
  • Write-Back: La aplicación escribe en la caché; la caché escribe en la base de datos asincrónicamente (riesgo de pérdida de datos).
• Evicción: LRU (Menos Recientemente Usado), LFU (Menos Frecuentemente Usado), TTL (Tiempo de Vida).

Rareza: Común Dificultad: Difícil

14. ¿Qué es el Particionamiento de la Base de Datos (Sharding)?

Respuesta: El sharding es un método para dividir y almacenar un solo conjunto de datos lógico en múltiples bases de datos. Es una forma de escalamiento horizontal.

• Horizontal vs. Vertical: Vertical = máquina más grande; Horizontal = más máquinas.
• Clave de Sharding: La lógica utilizada para distribuir los datos (por ejemplo, UserID % NumberOfShards).
• Desafíos:
  • Joins: Los joins entre shards son costosos o imposibles.
  • Transacciones: Las transacciones distribuidas son complejas (Commit de Dos Fases).
  • Rebalanceo: Mover datos al agregar nuevos shards es difícil.

Rareza: Media Dificultad: Difícil

15. Explica el concepto de Idempotencia en las APIs REST.

Respuesta: Una operación idempotente es aquella que se puede aplicar múltiples veces sin cambiar el resultado más allá de la aplicación inicial.

• Métodos Seguros: GET, HEAD, OPTIONS (no modifican el estado).
• Métodos Idempotentes: PUT, DELETE. Llamar a DELETE en un recurso 10 veces tiene el mismo efecto que llamarlo una vez (el recurso se elimina).
• No Idempotentes: POST. Llamar a POST 10 veces podría crear 10 recursos.
• Implementación: Utiliza una clave de idempotencia (ID único) en el encabezado de la solicitud. El servidor verifica si ya ha procesado este ID.

Rareza: Media Dificultad: Media

16. ¿Qué es un Proxy Reverso y por qué usarlo?

Respuesta: Un proxy inverso se sitúa frente a uno o más servidores web y reenvía las solicitudes del cliente a ellos.

• Beneficios:
  • Balanceo de Carga: Distribuir el tráfico.
  • Seguridad: Oculta la identidad/IP de los servidores backend; puede manejar la terminación SSL.
  • Caching: Almacenar en caché el contenido estático.
  • Compresión: Comprimir las respuestas (gzip) para ahorrar ancho de banda.
• Ejemplos: Nginx, HAProxy.

Rareza: Común Dificultad: Fácil

Base de Datos y Optimización (7 Preguntas)

17. Explica los modelos de consistencia ACID vs. BASE.

Respuesta:

• ACID (Relacional): Atomicidad, Consistencia, Aislamiento, Durabilidad. Se centra en la consistencia fuerte. Las transacciones son todo o nada.
• BASE (NoSQL):
  • Basically Available (Básicamente Disponible): El sistema garantiza la disponibilidad.
  • Soft state (Estado Suave): El estado del sistema puede cambiar con el tiempo, incluso sin entrada.
  • Eventual consistency (Consistencia Eventual): El sistema eventualmente se volverá consistente una vez que deje de recibir entrada.
• Compromiso: ACID proporciona seguridad y consistencia; BASE proporciona disponibilidad y escalabilidad.

Rareza: Media Dificultad: Media

18. ¿Cómo optimizas una consulta SQL lenta?

Respuesta:

1. Analizar: Utiliza EXPLAIN o EXPLAIN ANALYZE para comprender el plan de ejecución de la consulta.
2. Indexación: Asegúrate de que las columnas utilizadas en las cláusulas WHERE, JOIN y ORDER BY estén indexadas. Evita la sobre-indexación (ralentiza las escrituras).
3. Selecciona solo lo que necesitas: Evita SELECT *.
4. Evita el problema N+1: Utiliza JOINs o carga ansiosa (en ORMs) en lugar de ejecutar una consulta para cada fila en un bucle.
5. Desnormalización: Si los joins son demasiado costosos, considera duplicar datos (compromiso: consistencia de datos).
6. Particionamiento: Divide las tablas grandes en piezas más pequeñas.

Rareza: Muy Común Dificultad: Media

19. ¿Cuáles son los diferentes tipos de Índices de Base de Datos?

Respuesta:

• B-Tree: El predeterminado y más común. Bueno para consultas de rango y verificaciones de igualdad.
• Hash Index: Bueno solo para verificaciones de igualdad (key = value). Muy rápido pero no admite consultas de rango.
• GiST / GIN: Utilizado para tipos de datos complejos como búsqueda de texto completo, datos geométricos o JSONB (en PostgreSQL).
• Clustered vs. Non-Clustered (Agrupados vs. No Agrupados):
  • Clustered: Las filas de datos se almacenan físicamente en el orden del índice. Solo uno por tabla (generalmente PK).
  • Non-Clustered: Una estructura separada que apunta a las filas de datos.

Rareza: Media Dificultad: Difícil

20. Explica el Problema de Consulta N+1 y cómo solucionarlo.

Respuesta: El problema N+1 ocurre cuando tu código ejecuta N sentencias de consulta adicionales para obtener los mismos datos que podrían haberse recuperado al ejecutar la consulta primaria.

• Escenario: Obtienes una lista de 10 Autores (1 consulta). Luego, para cada autor, obtienes sus Libros (10 consultas). Total = 11 consultas.
• Solución:
  • SQL: Utiliza un JOIN para obtener autores y libros en una sola consulta.
  • ORM (Django): Utiliza select_related (para claves externas/uno a uno) o prefetch_related (para muchos a muchos/claves externas inversas).

Rareza: Muy Común Dificultad: Media

21. Redis vs. Memcached: ¿Cuál elegir?

Respuesta:

• Memcached: Simple, volátil, multi-hilo. Bueno para caching simple de clave-valor (fragmentos HTML, datos de sesión).
• Redis: Almacén de clave-valor avanzado.
  • Estructuras de Datos: Soporta listas, conjuntos, conjuntos ordenados, hashes, bitmaps, hyperloglogs.
  • Persistencia: Puede guardar datos en disco (RDB, AOF).
  • Replicación: Replicación maestro-esclavo incorporada.
  • Pub/Sub: Soporta la intermediación de mensajes.
• Elección: Utiliza Redis si necesitas estructuras de datos complejas, persistencia u ordenación. Utiliza Memcached para caching simple de alto rendimiento si necesitas multi-hilo.

Rareza: Media Dificultad: Media

22. ¿Qué es la Normalización de la Base de Datos?

Respuesta: La normalización es el proceso de organizar los datos en una base de datos para reducir la redundancia y mejorar la integridad de los datos.

• 1NF: Valores atómicos (sin listas en las celdas), filas únicas.
• 2NF: 1NF + sin dependencia parcial (todos los atributos no clave dependen de la clave primaria completa).
• 3NF: 2NF + sin dependencia transitiva (los atributos no clave dependen solo de la clave primaria).
• Compromiso: Una mayor normalización significa más tablas y más joins (lecturas más lentas). La desnormalización se utiliza a menudo para sistemas de lectura pesada.

Rareza: Común Dificultad: Fácil

23. ¿Cómo maneja PostgreSQL la concurrencia (MVCC)?

Respuesta: PostgreSQL utiliza Control de Concurrencia Multiversión (MVCC).

• Mecanismo: Cuando se actualiza una fila, Postgres no sobrescribe los datos antiguos. En cambio, crea una nueva versión de la fila.
• Lectores: Los lectores ven una instantánea consistente de la base de datos tal como estaba cuando comenzó su transacción. No bloquean a los escritores.
• Escritores: Los escritores crean nuevas versiones. Bloquean a otros escritores en la misma fila, pero no bloquean a los lectores.
• Vacuuming: Las versiones antiguas (tuplas muertas) que ya no son visibles para ninguna transacción deben ser limpiadas por el proceso VACUUM para reclamar espacio.

Rareza: Poco Común Dificultad: Difícil

Seguridad y DevOps (7 Preguntas)

24. Explica OAuth 2.0 y su flujo.

Respuesta: OAuth 2.0 es un framework de autorización que permite a las aplicaciones obtener acceso limitado a las cuentas de usuario en un servicio HTTP (como Google, Facebook) sin exponer la contraseña del usuario.

• Roles: Propietario del Recurso (Usuario), Cliente (App), Servidor de Autorización, Servidor de Recursos (API).
• Flujo (Autorización mediante Código):
  1. El usuario hace clic en "Iniciar sesión con Google".
  2. El usuario es redirigido al servidor de autenticación de Google.
  3. El usuario aprueba el acceso.
  4. Google redirige de vuelta a la App con un "Código de Autorización".
  5. La App intercambia el código por un "Token de Acceso" (canal secundario).
  6. La App utiliza el Token de Acceso para acceder a la API.

Rareza: Común Dificultad: Difícil

25. ¿Qué es JWT (JSON Web Token) y en qué se diferencia de la Autenticación por Sesión?

Respuesta:

• Autenticación por Sesión: El servidor crea una sesión, la almacena en la base de datos/caché y envía un ID de Sesión (cookie) al cliente. Con estado.
• JWT: Sin estado. El servidor genera un token que contiene la identidad del usuario y lo firma con una clave secreta. El cliente almacena el token y lo envía con cada solicitud. El servidor verifica la firma. No se necesita búsqueda en la base de datos.
• Pros de JWT: Escalable (sin estado), bueno para microservicios, amigable para móviles.
• Contras de JWT: Difícil de revocar (necesita listas negras/caducidad corta), el tamaño del token es mayor.

Rareza: Muy Común Dificultad: Media

26. ¿Cuáles son los 10 principales riesgos de seguridad de OWASP? Nombra algunos.

Respuesta: Un documento estándar de concienciación para desarrolladores y seguridad de aplicaciones web.

1. Inyección: SQL, NoSQL, inyección de SO.
2. Autenticación Rota: Contraseñas débiles, secuestro de sesión.
3. Exposición de Datos Sensibles: No cifrar los datos en tránsito/reposo.
4. Entidades Externas XML (XXE): Ataques contra analizadores XML.
5. Control de Acceso Roto: Usuarios que actúan fuera de sus permisos previstos.
6. Configuración Errónea de Seguridad: Cuentas predeterminadas, mensajes de error detallados.
7. Cross-Site Scripting (XSS): Inyectar scripts maliciosos.

Rareza: Común Dificultad: Media

27. ¿Qué es CI/CD?

Respuesta:

• Integración Continua (CI): Los desarrolladores fusionan frecuentemente los cambios de código en un repositorio central. Se ejecutan compilaciones y pruebas automatizadas para verificar los cambios. Objetivo: Detectar errores rápidamente.
• Despliegue Continuo (CD): Despliegue automático de código a producción después de pasar CI.
• Entrega Continua: Preparar automáticamente el código para su lanzamiento, pero puede ser necesaria la aprobación manual para el envío final.

Rareza: Común Dificultad: Fácil

28. Explica Docker vs. Máquinas Virtuales.

Respuesta:

• Máquinas Virtuales (VM): Virtualizan el hardware. Cada VM tiene un sistema operativo completo (sistema operativo invitado), kernel y aplicaciones. Pesado, arranque lento.
• Docker (Contenedores): Virtualizan el sistema operativo. Los contenedores comparten el kernel del sistema operativo anfitrión, pero tienen espacios de usuario aislados (bins/libs). Ligero, arranque rápido, portátil.

Rareza: Común Dificultad: Fácil

29. ¿Qué es Kubernetes?

Respuesta: Kubernetes (K8s) es una plataforma de orquestación de contenedores de código abierto. Automatiza el despliegue, el escalamiento y la gestión de aplicaciones en contenedores.

• Características:
  • Descubrimiento de Servicios y Balanceo de Carga: Expone los contenedores.
  • Auto-reparación: Reinicia los contenedores fallidos.
  • Rollouts/Rollbacks Automatizados: Actualiza las aplicaciones sin tiempo de inactividad.
  • Gestión de Secretos y Configuración: Gestiona los datos sensibles.

Rareza: Media Dificultad: Media

30. ¿Cómo aseguras una aplicación web Python?

Respuesta:

1. Validación de Entrada: Limpia todas las entradas (formularios, cuerpos de API, parámetros de consulta).
2. Inyección SQL: Utiliza ORMs o consultas parametrizadas. Nunca concatenación de cadenas.
3. XSS: Escapa la salida del usuario en las plantillas (Jinja2 lo hace por defecto).
4. CSRF: Utiliza tokens CSRF para las solicitudes que cambian el estado.
5. Dependencias: Mantén las bibliotecas actualizadas (utiliza pip-audit o Snyk).
6. HTTPS: Aplica SSL/TLS.
7. Encabezados: Establece encabezados de seguridad (HSTS, X-Frame-Options, CSP).
8. Secretos: Nunca subas secretos a Git. Utiliza variables de entorno.

Rareza: Común Dificultad: Media