Acusan a Deepin de ‘spyware’ ¿Tiene fundamento?
La historia se repite, cambiando a Ubuntu y Richard Stallman por Deepin y la denuncia de un desarrollador anónimo, que acusa a la distribución china de ser spyware. Así, sin medias tintas. ¿Qué hay de verdad en ello?
La denuncia la publica un desarrollador británico apodado quidsup, quien se presenta a sí mismo como “creador de contenido de YouTube [con más de 44.000 suscriptores] especializado en Linux y seguridad TI”, según se puede leer en su página de GitHub. Su proyecto más señalado es, de hecho, una herramienta llamada NoTrack, que define un servidor DNS que bloquea sitios de rastreo. Pues bien, en uno de sus vídeos muestra a Deepin 15.5 en lo que considera demuestra que”contiene spyware en la tienda de aplicaciones, que realiza conexiones no cifradas con el rastreador chino CNZZ“.
La noticia la cazamos, cómo no, vía Reddit, en los canales de Open Source y Linux (en ambos se puede ver el vídeo). Las reacciones no pueden ser más distintas. En el primero los comentarios cargan directamente contra Deepin, e incluso contra The Linux Foundation, organización a la que pertenece la anterior desde hace varios años (como si eso significase algo relevante en el asunto que nos ocupa… ¡que Microsoft es socio platino!). En el segundo, el comentario más votado se ha tomado la molestia de revisar el código relacionado con la denuncia de quidsup, llegando a la conclusión de que puede resultar intrusivo, pero es inofensivo.
Según explica este usuario, exactamente el mismo enlace hacia CNZZ que destaca el vídeo, con el mismo identificador, es el que figura en el código fuente de Deepin, por lo que “no es exclusivo de un usuario, sino que está relacionado con su propia cuenta [la de Deepin] en CNZZ“. También comenta que el script de la discordia “no capta ninguna información del sistema, las propiedades de alto y ancho mencionadas en el vídeo corresponden a la ventana del navegador”.
Simplificando, lo que supuestamente hace Deepin sería “como ir a store.kde.com y darse cuenta de que tienen el código de Google Analytics en la página. Solo es un ejemplo, no sé si lo hacen“, concluye el mismo usuario. Es decir, se trataría de una analítica propia que en ningún caso rastrea al usuario con identificadores personales. Así, otros comentarios no tardan en recordar que el complemento de Ubuntu para Amazon sí realizaba un seguimiento real (aunque cabe señalar que aquello terminó y que mucho antes lo cambiaron para cifrar y anonimizar los datos en transferencia) o que Mozilla ha hecho lo propio con Firefox en otras ocasiones.
¿De quién nos fiamos? Quien denuncia, aporta las pruebas con la aplicación que él mismo desarrolla bajo licencia libre; quien rebate, la revisión del supuesto código afectado, que por otra parte cualquiera puede escudriñar en el GitHub de Deepin. A lo cual hay que sumarle, echando un vistazo al historial de publicaciones de quidsup en YouTube, que por un lado ha analizado Deepin con anterioridad en sentido general, como usuario final y con buenas impresiones, y por el otro ya lanzó la sospecha hace más de un año. Entonces basaba sus suspicacias en la imposibilidad de encontrar las fuentes de financiación del proyecto.
Habrá que fiarse de lo único fiable, pues: el código fuente de Deepin, que como sabéis se basa en Debian y está disponible públicamente (la base es Debian; el escritorio, herramientas y aplicaciones están desarrolladas por Deepin). Pero en este punto nos topamos con un problema insalvable, siempre que la sombra de la sospecha se cierne sobre algo: nadie puede asegurar al cien por cien que todo el software que se ejecuta una vez ha instalado Deepin, se corresponde con el código fuente publicado, cuando la distribución -como la mayoría de distribuciones actuales- funciona a base de paquetes precompilados.
Por nuestra parte, nos hemos puesto en contacto con Deepin, sin obtener respuesta hasta el momento.
En cualquier caso, se haya sobredimensionado el asunto o no, y parece que por ahí pueden ir los tiros a juzgar por los datos, Deepin siempre ha estado marcada con un estigma entre cierto sector por el hecho de ser un proyecto de origen chino. Así las cosas, que no solo Deepin o Debian, sino el grueso de GNU/Linux, aplique de una vez por todas el sistema de compilaciones reproducibles, es el mejor método para eliminar dudas como las que suscitan situaciones como esta.