Eduroam es un servicio global que busca dar acceso a Internet a la comunidad académica e investigadora, ya sea a través del WiFi de su propio campus, ya sea a través del de cualquier otra institución universitaria que participe en esta iniciativa. Este mismo mes, además, se anunció el comienzo de su expansión a ámbitos como las escuelas secundarias, las bibliotecas y los museos.
Pero ahora el equipo de seguridad de la publicación WizCase ha anunciado el descubrimiento de "un importante problema de seguridad que afecta a los usuarios de eduroam".
Así, ahora sabemos que resulta posible crear una 'red gemela' malvada de eduroam en cualquier localización en la que ésta está activa; para el usuario, dicha red es indistinguible de la original, por lo que se conectará a la misma exponiendo así todos sus datos privados.
Un error humano… al que no se da solución
No se trata, propiamente hablando, de lo que solemos entender como 'vulnerabilidad', pues la red WiFi de eduroam no tiene ningún error de diseño o programación: el problema es más bien humano, pues a la hora de implementarla los administradores de cada universidad muchas veces la configuran de manera deficiente.
El problema es que los responsables de eduroam conocen desde hace tiempo este hecho, y no han supervisado que los administradores lo solucionen, ni han implementado cambios en el funcionamiento de la red 'a prueba de errores humanos'.
De hecho, WizCase ya se puso en contacto con ellos a finales de 2020, tras lo que recibieron la siguiente respuesta, que les hizo pensar que tomarían cartas en el asunto:
"Gracias por sus comentarios. De hecho, ocasionalmente se nos dan a conocer proveedores de identidad de eduroam [universidades] que no siguen los requisitos de la política de eduroam y dejan a sus propios usuarios desprotegidos. Estamos absolutamente de acuerdo en que este es un comportamiento inaceptable por su parte".
Decidieron entonces, según cuentan, posponer la difusión de esta vulnerabilidad "con la esperanza de que eduroam pudiera haber informado a sus usuarios después de nuestro contacto". No fue así, y por eso se hace público ahora.
El problema radica en que, cuando estamos usando un dispositivo Windows o Android, éste no comprueba si la nueva red WiFi detectada usa o no un certificado de fiar, por lo que si tiene el mismo nombre que la original se conectará automáticamente si tenemos habilitada esa opción; de lo contrario, nos preguntará si queremos seguir adelante pese a que el certificado no sea fiable.
Pero, dado que la mayoría de los usuarios desconocen la relevancia del aviso (el certificado permite comprobar la legitimidad del punto de acceso, y cifrar la conexión entre éste y el dispositivo)… tienden igualmente a aprobar la conexión, según ha revelado WizCase tras realizar varias pruebas.
Peor aún: varias universidades no han implementado certificados válidos, y sus propias instrucciones de conexión recomiendan ignorar el error y pulsar en 'Aceptar', por lo que contribuyen aún más a evitar que los ciberataques lleguen a detectarse.
El problema no sería tan grave si el administrador estableciera que la autenticación WiFi se realice por defecto usando el protocolo MSCHAPv2, pues así los datos de login llegan ya cifrados al punto de acceso malicioso. Pero eduroam permite establecer en su lugar el protocolo PAP (Plain Authentication Protocol), que remite nuestro nombre de usuario y contraseña como texto plano.
¿Qué instituciones académicas españolas son inseguras?
En total, 600 universidades de las más de 3.100 analizadas usan PAP en su autenticación interna, lo que las convierte en vulnerables a esta modalidad de 'phishing'. Si eres docente, investigador o estudiante, debes tener en cuenta que, incluso si tu universidad no se encuentra entre esas 600, cualquier desplazamiento temporal a otra institución académica puede terminar exponiendo tus datos.
Para evitarlo, es vital que deshabilites el inicio de sesión automático en eduroam.
Con respecto a la responsabilidad por lo ocurrido, desde WizCase reconocen que resulta
"Imposible señalar con el dedo o culpar a una sola persona, institución, sistema o proceso. El problema se ha convertido en una bola de nieve [y] hay múltiples compañías y organizaciones que han tenido su parte de culpa".
En su web, WizCase ha publicado un mapa Google en el que localizan todas aquellas universidades que hacen uso de eduroam en todo en mundo, diferenciando entre las seguras, las inseguras y las que compatibilizan ambos sistemas de comprobación del login, según los datos recopilados a finales del año pasado. Las 34 instituciones españolas calificables como 'inseguras' y presentes en dicha lista son las siguientes:
- Fundación Tecnocampus
- Universidad Pompeu Fabra de Barcelona
- Centre for Genomic Regulation
- Parque de Investigación Biomédica de Barcelona
- EADA Business School
- Universidad Internacional de Cataluña
- Escuela Universitaria Salesiana de Sarriá
- Universidad Politécnica de Cataluña
- Universidad Autónoma de Barcelona
- Universidad Rovira i Virgili
- Universidad de Zaragoza
- Center for Cooperative Research in Biomaterials
- Universidad Pública de Navarra
- Universidad de La Rioja
- Universidad de Santiago de Compostela
- Universidad de Valladolid
- Universidad de Salamanca
- Universidad Alfondo X el Sabio
- Fundación para el Conocimiento madri+d
- Universidad Complutense
- Universidad Nacional a Distancia
- Idpnube demo
- CSIC
- IMDEA
- Universidad Autónoma de Madrid
- Universidad de Alcalá de Henares
- Universidad de Huelva
- Universidad de Cádiz
- Universidad de Málaga
- Universidad de Sevilla
- Universidad Internacional de Andalucía
- IRAM-ES
- Instituto de Astrofísica de Canarias
- Plataforma Oceánica de Canarias
Vía | WizCase
Ver 1 comentarios