El entorno de escritorio Deepin enfrenta una crisis severa dentro de las distribuciones de Linux más importantes. Recientemente, el Comité Directivo de Ingeniería de Fedora (FESCo) decidió eliminar de tajo todos los paquetes relacionados con Deepin de su rama de desarrollo continuo (Rawhide), ordenando que no se reinstalen sin una revisión exhaustiva previa.

Esta decisión asegura que Fedora 45 (que se lanzará este próximo otoño) llegara sin soporte oficial para este entorno. El motivo principal radica en el abandono del mantenimiento por parte del grupo encargado (deepinde-sig), lo que provocó que los paquetes acumularan vulnerabilidades sin corregir durante largos periodos, causando incluso fallos directos en la compilación y en la instalación de los sistemas.

Este escenario en Fedora es una repetición directa del histórico problema de seguridad que Deepin protagonizó hace un año SUSE. Y es que el equipo de seguridad de openSUSE retiró abruptamente el escritorio después de descubrir que el responsable del empaquetado intentó evadir las políticas de seguridad de la distribución.

Ante la negativa de SUSE de aprobar componentes críticos debido a sus múltiples fallos, el empaquetador introdujo un paquete engañoso que, bajo el pretexto de un acuerdo de licencia, instalaba a la fuerza configuraciones prohibidas en el sistema. Aunque los encargados en Fedora no intentaron evadir reglas, la falta de una revisión de seguridad estricta para este entorno ha dejado expuestos a sus usuarios a las mismas vulnerabilidades que SUSE advirtió.

El detonante en Fedora: abandono y falta de revisiones

La purga de Deepin en Fedora no fue una decisión repentina. Hace un mes, los miembros del FESCo pausaron temporalmente la eliminación para intentar establecer contacto con los responsables del grupo deepinde-sig. Al lograr comunicarse con el mantenedor principal, este confesó que todo el equipo estaba desbordado por sus trabajos principales y no tenían tiempo para mantener el proyecto. Al no poder atraer a nuevos desarrolladores, el propio responsable aceptó y apoyó la eliminación de los paquetes del repositorio oficial de Fedora.

La verdadera preocupación para Fedora radica en cómo se manejó la seguridad de estos paquetes durante su existencia. A diferencia de SUSE, que exige revisiones manuales estrictas antes de permitir que un paquete modifique políticas críticas del sistema como dbus o polkit, Fedora no cuenta con mecanismos de bloqueo similares. Un desarrollador de Fedora analizó el informe de seguridad publicado por SUSE sobre el gestor de archivos de Deepin (deepin-file-manager) y concluyó que Fedora había estado distribuyendo exactamente la misma versión insegura sin realizar ninguna auditoría de seguridad significativa.

El historial de vulnerabilidades en SUSE

El caso de openSUSE, que sentó el precedente para la desconfianza hacia Deepin, está documentado en un extenso informe técnico. Según los registros, desde el año 2017, las auditorías a componentes clave como deepin-api, deepin-clone y deepin-file-manager revelaron fallos de seguridad calificados como una «pesadilla». El gestor de archivos, por ejemplo, permitía a cualquier usuario local, sin necesidad de contraseñas, crear grupos, cambiar claves de red e incluso formatear discos enteros debido a una pésima implementación de los controles de acceso en D-Bus.

La respuesta de los desarrolladores originales de Deepin ante estos reportes siempre fue deficiente. Las correcciones eran incompletas, desaparecían funciones enteras sin explicación o, al intentar arreglar un problema, introducían nuevas vulnerabilidades críticas. La falta de comunicación y la ausencia de una cultura de seguridad sólida llevaron a SUSE a negar la aprobación de estos componentes centrales.

El paquete trampa: deepin-feature-enable

Cansado de que las revisiones de seguridad de SUSE bloquearan el funcionamiento completo del escritorio, el empaquetador de la comunidad tomó una decisión drástica. En abril de 2021, introdujo sigilosamente un paquete llamado deepin-feature-enable. Este componente mostraba un cuadro de diálogo advirtiendo al usuario que SUSE tenía dudas sobre la seguridad del entorno, pero le pedía aceptar un «acuerdo de licencia» si deseaba que el escritorio funcionara correctamente.

Si el usuario aceptaba, el paquete descomprimía archivos ocultos que eludían el gestor de paquetes del sistema, instalando a la fuerza las configuraciones de D-Bus y Polkit que el equipo de seguridad de SUSE había prohibido expresamente.

Este acto fue considerado una violación directa y grave a las políticas de empaquetado y control de calidad. Al descubrir este engaño en 2024, openSUSE decidió eliminar completamente a Deepin de su versión Tumbleweed y de la futura versión Leap 16.0, sentando un precedente que ahora Fedora ha decidido seguir para proteger a sus usuarios.

Finalmente si estas interesado en poder conocer mas al respecto puedes consultar los detalles en el siguiente enlace.