Ticker

6/recent/ticker-posts

Ad Code

Responsive Advertisement

36 universidades españolas exponen datos personales y contraseñas

bloghinkig1 septembre 29, 2021
eduroam wifi peligro

Eduroam es una red de conexiones WiFi disponibles en más de 3.100 de universidades de todo el mundo, y que alcanza ya a más de 100 países y cientos de miles de estudiantes. Gracias a ella, cualquier usuario puede usar sus mismas credenciales conectarse independientemente de la universidad que visite, incluso si está en otro país. Cada estudiante, investigador o profesor tiene asignado su usuario y contraseña. Sin embargo, con que haya una sola universidad que configure mal el sistema, los nombres de usuario y contraseña pueden acabar filtrados.

Por ello, Wizcase analizó la seguridad en esta red a finales de 2020, y descubrieron un grave y preocupante fallo: que es posible crear una red maliciosa gemela de eduroam que sea indistinguible de cara al usuario. Con ello, el dispositivo puede enviar sus credenciales de acceso a la nueva red si no se usa el certificado eduroamCAT. Este fallo no es culpa de la red WiFi de eduroam en sí, sino de los administradores que la configuran en cada universidad. La propia eduroam es consciente de estas prácticas y afirma que es inaceptable, pero no obliga a que se arregle.

Eduroam no es seguro si se usa PAP

En la mayoría de redes eduroam se permite al usuario conectarse con un nombre de usuario y contraseña en lugar de con una clave compartida previa. Para ello, se usa un sistema llamado “Extensible Authentication Protocol”, o EAP. La autenticación se realiza en varias fases, donde cada fase depende de que la anterior tenga una implementación segura.

Esa autenticación del WiFi se puede realizar de dos maneras: usando Plain Authentication Protocol (PAP) o Microsoft Challenge Handshake Authentication Protocol v2 (MSCHAPv2). Con PAP, las credenciales se transmiten al servidor en texto plano porque se confía en que la autenticación externa sea segura. En el caso de MSCHAPv2, la contraseña se transmite en forma de hash cifrado en lugar de en texto plano.

Sin embargo, en Android, cuando se detecta una red WiFi del mismo nombre, no se comprueba si el certificado usado es o no de fiar. Así, la conexión se realiza automáticamente si lo tenemos activado, o al menos el sistema pregunta si queremos seguir con un certificado que no sea de fiar. La mayoría de usuarios dicen que sí sin comprobar si el certificado es o no de fiar. En Windows ocurre lo mismo, mientras que en iOS no es posible conectarse si no se tiene un certificado correcto.

El uso de certificado es muy importante, ya que permite establecer una confianza entre el punto de acceso y el dispositivo a la hora de comprobar la legitimidad de cada uno y cifrar la conexión entre ambos. Por ello, es realmente grave que pueda establecerse la conexión incluso cuando se usa un certificado cuya autenticidad no puede verificarse.

cifrado pap mschap eduroam

Como vemos en la imagen, si se usa MSCHAPv2 por defecto, el atacante no puede conocer las credenciales de usuario porque están cifradas. Con PAP las recibe tal cual en texto plano.

Listado de universidades con WiFi inseguro

De las 3.100 universidades analizadas, más de 1.500 usan PAP. De ellas, sólo 600 usan PAP en la autenticación interna, dando pie a que un hacker obtenga las credenciales. Si tu universidad está entre las afectadas, es buena idea que lo comuniques a los administradores de la red para evitar robo de credenciales, phishing, suplantación de identidad, e incluso cometer actividades ilícitas usando tu nombre o datos personales si acceden a toda tu información de la universidad.

Además, es conveniente desactivar la conexión automática a eduroam. Gracias a ello, evitaremos que puedan acceder a nuestro tráfico. Además, ten cuidado en las universidades a las que te conectes, ya que, aunque la tuya sea segura, otra a la que vayas puede no serlo. A su vez, es importante instalar el certificado eduroamCAT para garantizar que los certificados coinciden siempre. Si falla, hay que contactar con la universidad para que lo acepten.

eduroam seguro mapa

En el mapa podemos ver cómo las universidades que no ofrecen PAP están en verde, mientras que las que usan PAP y ofrecen alternativas están en amarillo. Las que sólo ofrecen PAP están en rojo, y por desgracia en España podemos ver que hay muchas rojas, aunque también hay muchas en verde. El listado es el siguiente:

Rojo:

  • Center for Cooperative Research in Biomaterials (San Sebastián)
  • Centre for Genomic Regulation (Barcelona)
  • Consejo Superior Investigaciones Científicas (Madrid)
  • Escola Universitària Salesiana de Sarrià (Barcelona)
  • Foundation Tecnocampus (Mataró)
  • Fundación para el Conocimiento madri+d
  • i2basque (San Sebastián)
  • IMDEA (Leganés)
  • Idpnube demo (Madrid)
  • Instituto de Astrofísica de Canarias
  • IRAM-ES (Granada)
  • Ministerio de Educación
  • Plataforma Oceánica de Canarias
  • PRBB Parc de Recerca Biomèdica de Barcelona
  • Universidad Alfonso X el Sabio (Madrid)
  • Universidad Autónoma de Madrid
  • Universidad Complutense de Madrid
  • Universidad de Alcalá
  • Universidad de Cádiz
  • Universidad de Huelva
  • Universidad de Jaén
  • Universidad de La Rioja
  • Universidad de Málaga
  • Universidad de Salamanca
  • Universidad de Sevilla
  • Universidad de Valladolid
  • Universidad de Zaragoza
  • Universidad Internacional de Andalucia
  • Universidad Pública de Navarra
  • Universidad Pública de Navarra
  • Universidade de Santiago de Compostela
  • Universitat Pompeu Fabra de Barcelona
  • Universitat Rovira i Virgili
  • UPC – Universitat Politècnica de Catalunya
  • UNED (Madrid)

Amarillo:

  • Escola Superior de Comerç Internacional
  • Fundación Parque Científico de la Universidad de Salamanca
  • ISOC Spanish Chapter
  • Universidad Carlos III de Madrid
  • Universidad de Córdoba
  • Universidad de Extremadura
  • Universidad de Las Palmas de Gran Canaria
  • Universidad de Murcia
  • Universidad de Oviedo
  • Universidad del País Vasco
  • Universidad Pablo de Olavide
  • Universidad Rey Juan Carlos
  • Universidad Técnica de Cartagena
  • Universidade de Vigo
  • Universidade da Coruña
  • Universitat Central de Catalunya
  • Universitat de Barcelona
  • Universitat Ramon Llull
  • Xarxa Telemàtica Educativa de Catalunya

Verde:

  • Universidad Francisco de Vitoria
  • Basque Center for Applied Mathematics
  • BCBL
  • Centro de Láseres Pulsados Ultracortos Ultraintensos
  • Centro Nacional de Investigaciones Cardiovasculares Carlos III
  • CIEMAT
  • CUNEF
  • ESADE
  • P.E. Red.es
  • Escola superior de música de Catalunya
  • ICFO-The Institute of Photonic Sciences
  • ICIQ
  • IE Universidad
  • Instituto de Salud Carlos III
  • Institut Cartogràfic i Geològic de Catalunya
  • Mondragon Unibertsitatea
  • Universidad Antonio de Nebrija
  • Universidad Camilo José Cela
  • Universidad Católica de Valencia
  • Universidad Católica San Antonio de Murcia
  • Universidad de Alicante
  • Universidad de Almería
  • Universidad de Cantabria
  • Universidad de Castilla-La Mancha
  • Universidad de Castilla-La Mancha
  • Universidad de Deusto
  • Universidad de Granada
  • Universidad de León
  • Universidad Internacional de La Rioja
  • Universidad Loyola Andalucía
  • Universidad Politécnica de Madrid
  • Universidad Pontificia Comillas
  • Universidad San Jorge
  • Universidad San Pablo CEU
  • Universitat Abat Oliba CEU
  • Universitat de les Illes Balears
  • Universitat de Lleida (UdL)
  • Universitat de Lleida (UdL)
  • Universitat de València
  • Universitat Politècnica de València
  • Zaragoza Logistics Center

The post 36 universidades españolas exponen datos personales y contraseñas appeared first on ADSLZone.

Enregistrer un commentaire

0 Commentaires

Emoji
(y)
:)
:(
hihi
:-)
:D
=D
:-d
;(
;-(
@-)
:P
:o
:>)
(o)
:p
(p)
:-s
(m)
8-)
:-t
:-b
b-(
:-#
=p~
x-)
(k)