Si descartamos a Ubuntu, Flatpak se ha convertido en el principal formato de paquetes universales, sobre todo viendo que grandes distribuciones como Ubuntu, openSUSE y Fedora están recorriendo o han hecho el recorrido para dejar de soportar AppImage. Sin embargo, Flatpak no deambula solo por el mundo, sino que está fuertemente relacionado, pero no de forma exclusiva ni excluyente, a dos componentes: XDG Desktop Portal y PipeWire.
Recientemente han aparecido las versiones 1.20.4 y 1.16.4 de XDG Desktop Portal y Flatpak respectivamente, las cuales se encargan principalmente de corregir fallos de seguridad que no son comunes entre los componentes (no se repiten), pero sí provocan un efecto acumulativo debido a la estrecha relación que hemos mencionado.
En el caso de Flatpak 1.16.4 se han corregido cuatro fallos de seguridad: “una fuga completa de sandbox que conduce al acceso a archivos del anfitrión (host) y a la ejecución de código en el contexto del anfitrión” (CVE-2026-34078), “la eliminación arbitraria de archivos en el sistema de archivos del anfitrión” (CVE-2026-34079), el acceso de lectura arbitrario a archivos en el contexto del servicio system-helper (flatpak-system-helper) (GHSA-2fxp-43j9-pwvc) y “operaciones de extracciones huérfanas entre usuarios” o mediante cruce de usuarios. El aislamiento es uno de los fuertes que Flatpak pretende vender. Por su parte, en XDG Desktop Protal 1.20.4 se ha introducido una corrección para “evitar la destrucción arbitraria de archivos del anfitrión” (GHSA-rqr9-jwwf-wxgj).
Los fallos de seguridad consisten principalmente en gestiones incorrectas de los ficheros que pueden llevar a su eliminación de forma arbitraria y aparentemente sin que el usuario sea notificado. Por otro lado, todo software mínimamente complejo tiene vulnerabilidades, y algunas veces estas llegan a estar presentes durante muchos años.
Como ya hemos dicho, XDG Desktop Portal, PipeWire y Flatpak son tres tecnologías que pueden ir por separado, pero que al mismo tiempo están bastante relacionadas. De hecho, la combinación de las dos primeras son la base del marco que permite realizar la captura de la pantalla (screencasting) en sesiones de Wayland, si bien este mecanismo es en realidad abstracto con respecto al servidor gráfico y técnicamente también puede funcionar sobre Xorg.
La versión Flatpak de OBS Studio alojada en Flathub, la cual está verificada, es posiblemente el exponente más claro de la relación entre Flatpak, PipeWire y XDG Desktop Portal, aunque XDG Desktop Portal también está implementado en Snap y nada impide su implementación en aplicaciones empaquetadas en formato “tradicional” (Deb, RPM, tar.xz de Arch Linux… ).
Para terminar, un detalle interesante que han recogido en 9to5Linux es que la versión 1.17.4 de Flatpak ha incluido el soporte para ejecutar incondicionalmente NTSYNC, el backend de sincronización de Wine que promete darle todo un impulso al desempeño de los videojuegos para Windows que son ejecutados en Linux y que, en este caso particular, debería representar una mejora para aquellos que juegan a través de Flatpak, como este servidor.
