¿Deepin Linux es seguro o es software espía?

Deepin Linux es, con mucho, una de las distribuciones de Linux más atractivas que existen. Pero por mucho que sea elogiado por su buen aspecto, también es infame por recopilar datos de usuarios y enviarlos a servidores chinos.

Entonces, ¿cuál es la verdad aquí? ¿Deepin está tratando de atraer a los usuarios con su apariencia deslumbrante y luego robar sus datos? ¿O es solo la paranoia china la que se ha desproporcionado?

En esta lectura, le daremos una mirada en profundidad a todas las pruebas y afirmaciones de seguridad que rodean al sistema operativo Deepin. Además, le mostraremos lo que inició toda esta controversia de "Deepin OS es software espía" y discutiremos el estado actual de la distribución de Linux.

Entonces, sin más preámbulos, comencemos:

Conexión de Deepin Linux a CNZZ

Deepin OS es un software gratuito y de código abierto. Como tal, cualquier usuario puede auditar su código fuente para saber cómo funciona y / o buscar vulnerabilidades de seguridad. Bueno, eso es exactamente lo que hizo el YouTuber - QuidsUp en 2018 en su video titulado "Linux Deepin es Spyware".

Aquí está el video en caso de que se pregunte qué descubrió:

En pocas palabras, QuidsUp descubrió que en Deepin Linux 15.5, Deepin Store enviaba cierta información del sistema a un popular rastreador chino CNZZ, el mayor proveedor chino de servicios de análisis de estadísticas de Internet.

Lo que es más alarmante es que la comunicación estaba ocurriendo independientemente de si estaba usando Deepin Store. Según QuidsUp, la comunicación se estableció en el arranque del sistema o la primera vez que abrió Deepin Store.

Entonces, ¿qué significa esto? En términos sencillos, una empresa de análisis de terceros, también de China, estaba rastreando y recopilando datos de los usuarios. Y lo peor, los usuarios no fueron informados de esta actividad de ninguna manera.

Según QuidsUp, Deepin 15.3 y 15.4 no tenían el rastreador CNZZ. Entonces Deepin lo agregó con el lanzamiento de la versión 15.5. Sin embargo, los usuarios que descargaron e instalaron Deepin no fueron notificados de este cambio significativo.

Como referencia, también se sabe que Ubuntu recopila datos de usuarios anónimos. Sin embargo, informan al usuario sobre este comportamiento inmediatamente después de instalar la distribución. Además, los usuarios de Ubuntu también tienen la opción de optar por no participar en todas las actividades de recopilación de datos.

Con Deepin 15.5, ni se informó a los usuarios ni se les dio la opción de excluirse.

La respuesta de Deepin a la controversia

Poco después de que el video de QuidsUp se pusiera en línea y otros medios de Linux comenzaran a hablar sobre los hallazgos, el equipo de Deepin respondió rápidamente para arrojar luz sobre lo que estaba sucediendo.

Resultó que el backend de la tienda Deepin es en realidad un sitio web, lo que, por cierto, también es válido para muchas otras aplicaciones de Linux.

El rastreador CNZZ estaba integrado en el backend de la tienda para recopilar información anónima sobre el uso del sitio web, como "agente de usuario del navegador, resolución, etc." Ahora, el hecho de que Deepin optó por usar un 'etc.' en lugar de profundizar en todas las métricas que se estaban recopilando, es motivo de preocupación para muchos. Además, los datos que estaba enviando estaban encriptados, por lo que era imposible saber el tipo de material que están recopilando.

Según ellos, el servicio es "similar a Google Analytics", lo que implica que el tipo de datos recopilados es similar a lo que recopilan otros sitios web que utilizan Google Analytics.

También han citado explícitamente que Deepin no recopila “información privada”.

En cuanto al motivo de la recopilación de datos de los usuarios, Deepin declaró que, al usar CNZZ, esperaban "mejorar la experiencia del sitio web" y "detectar problemas del sitio web".

Después de publicar la declaración, Deepin eliminó el rastreador CNZZ de la tienda Deepin. QuidsUp también hizo un video de seguimiento después de la declaración y concluyó que Deepin realmente eliminó el seguimiento de CNZZ.

Ahora, todo esto sucedió en 2018. Estamos en 2021, y han pasado casi 3 años. Entonces, ¿está todo bien y es seguro usar Deepin?

El estado actual de Deepin Linux

Deepin Linux comenzó inicialmente como una distribución basada en la comunidad en 2004. Luego, en 2011, el equipo de desarrollo de Deepin Linux se reunió y creó su propia empresa: Wuhan Deepin Linux. Después de eso, a partir del 1 de enero de 2020, Deepin Linux es una subsidiaria de propiedad total de Union Tech.

Ahora, aquí está la cosa, Union Tech comenzó como una empresa conjunta entre Wuhan Deepin Technology y una corporación estatal. Y ahora, ha adquirido Deepin por completo, y el fundador de Deepin, Liu Wenhan, se coloca como Gerente General de Union Tech. Esto significa que el gobierno chino ahora tiene aún más poder sobre Deepin OS, ya que es propiedad de una corporación estatal.

En la superficie, esto parece aterrador y preocupante.

Pero dicho esto, debemos considerar que Deepin OS sigue siendo un software de código abierto. Como tal, al igual que QuidsUp, cualquiera puede auditar el código fuente para averiguar si hay puertas traseras en el sistema operativo. Y hasta donde sabemos, no ha habido ninguna noticia o evidencia sustancial sobre este asunto.

Sin embargo, también vale la pena considerar que auditar el código fuente de un sistema operativo completo no es una tarea fácil. Requiere mucho tiempo y mano de obra. Como tal, muchos expertos en seguridad y usuarios de Linux argumentan que la distribución no ha pasado por el escrutinio suficiente para saber si es “realmente” segura y protegida.

Deepin Linux y su EULA

Después de su adquisición por parte de Union Tech, el siguiente lanzamiento para Deepin OS fue la versión 20. Desde entonces, los usuarios deben aceptar el EULA (Acuerdo de licencia de usuario final) y la Política de privacidad de Deepin antes de instalar el sistema operativo.

Por un lado, es bueno que Deepin esté revelando legalmente lo que está sucediendo en su sistema operativo. Pero, por otro lado, esto convierte a Deepin en una de las pocas distribuciones de Linux que requieren que los usuarios acepten un EULA, similar a sistemas operativos propietarios como Windows.

Ahora, si le gusta o no que su distribución de Linux venga con un EULA es una cuestión diferente. Centrémonos en lo que es realmente importante: ¿qué dice el EULA y la Política de privacidad? ¿Deepin recopila datos del usuario?

Bueno, resulta que sí, de hecho, sí lo hace.

Sin embargo, los usuarios tienen la opción de aceptar o no proporcionar sus datos a Union Tech.

Entonces, ¿qué tipo de datos recopila Deepin OS de todos modos? Bueno, aquí está la lista completa para que la revises:

• Información de red, por ejemplo, dirección IP
• Información de la placa base
• Información del BIOS
• Información de la CPU
• Información de la memoria
• Información del disco duro
• Información de partición
• Información de la tarjeta de red
• Versión de software del sistema
• Última fecha de actualización del sistema
• Lenguaje del sistema
• Efectos de sonido del sistema
• Fuente de alimentación
• Ratón
• Tema del sistema
• Fondo de pantalla
• Lanzacohetes
• Muelle
• Información de configuración para Hot Corners
• Hora de inicio de sesión diaria
• Fuente de cada descarga
• La versión de las aplicaciones instaladas
• Hora de inicio y salida de la aplicación

Eso es mucho, ¿no? Y algo de esto no tiene sentido para que lo recopile un sistema operativo. Entonces, ¿por qué Deepin necesita conocer el "tiempo de inicio de sesión diario" de mi sistema?

Ahora sí, como dijimos, todo este seguimiento solo ocurre si los usuarios optan por participar. Pero el hecho mismo de que este tipo de función de seguimiento esté presente en el sistema operativo es preocupante para muchos usuarios, ¡y con razón!

Entonces, ¿debería usar Deepin Linux?

Actualmente, no hay pruebas concretas o genuinas de que Deepin Linux sea software espía. Sin embargo, no se puede negar el hecho de que tiene un montón de banderas rojas.

Deepin OS ahora es propiedad de Union Tech, que está asociada con el gobierno chino, y esto puede ser preocupante para algunos usuarios. En segundo lugar, el sistema operativo cuenta con muchas funciones de seguimiento de datos de usuario. A pesar de que son opcionales, el mero hecho de que Deepin vaya por esta ruta es comprensiblemente desagradable para muchos usuarios de Linux.

Como tal, solo para mantener a nuestros lectores (especialmente los principiantes que no saben cómo auditar el código fuente o detectar tráfico de red inusual) en el lado seguro, recomendamos omitir Deepin OS. Dicho esto, antes de que te pongas triste y deprimido porque no podrás usar esta hermosa distribución de Linux, considera que estamos criticando la distribución Deepin Linux y no el entorno de escritorio Deepin (o DDE para abreviar).

¡Puedes usar el entorno de escritorio Deepin! ¡Es seguro y no es software espía!

Si desea el buen aspecto de Deepin sin preocuparse por posibles problemas de seguridad y privacidad, puede usar el entorno de escritorio Deepin además de su distribución de Linux favorita.

De hecho, hay una edición comunitaria de Manjaro en DDE, así como Ubuntu que usa DDE.

El script de seguimiento CNZZ estaba integrado en Deepin Store, que es parte del sistema operativo Deepin. Si está utilizando el DEE en alguna otra distribución, lo más probable es que acceda a la tienda DDE. Esto está hecho por la comunidad, el código está disponible para que todos puedan auditarlo y no se sabe que tenga scripts de seguimiento. ¡Así que lo tienes claro aquí!

Además, si instala DDE en otra distribución, no tiene que preocuparse por el molesto Deepin EULA. Discutimos todas esas funciones de seguimiento como parte del sistema operativo Deepin principal y no integradas en el entorno de escritorio.

Finalmente, si está obteniendo el DDE derivado de Manjaro o Ubuntu, puede estar seguro de que sus respectivas comunidades han auditado a fondo el código fuente del entorno de escritorio. Después de todo, las distribuciones establecidas no quieren comprometer a sus usuarios, así como su nombre y buena voluntad, recomendando software espía bajo su marca.

Terminando

Así que esto cubre toda la controversia sobre el software espía Deepin Linux: el pasado y el presente.

Como acabamos de decir, no hay pruebas o hallazgos sustanciales que apunten a que Deepin recopile datos de los usuarios en secreto. Y aunque el sistema operativo tiene un sistema para rastrear y recopilar datos del usuario, tiene la opción de optar por participar o no, por lo que está bajo su control.

Pero dicho esto, el incidente anterior de CNZZ de 2018 y el hecho de que Deepin sea actualmente propiedad de Union Tech, que está parcialmente bajo el gobierno chino, están causando preocupación entre muchos usuarios.

Como tal, si es nuevo en Linux y no sabe cómo ejecutar auditorías de seguridad o rastrear su tráfico de red, le sugerimos que no use Deepin OS. En cambio, si le gusta cómo se ve la distribución, puede instalar Deepin Desktop Environment (DDE) en su distribución favorita y disfrutar de la interfaz de usuario / UX de esa manera.

Tanto Manjaro como Ubuntu tienen versiones DDE que puedes probar ahora mismo.