El equipo eduroam es consciente de un informe de vulnerabilidades realizado por WizCase y publicado en múltiples medios secundarios. Hubo otras publicaciones similares (Bartoli et al.) en el pasado sobre la seguridad en redes inalámbricas, some specific to eduroam or the technologies that build eduroam, that also received analysis in the eduroam community.

eduroam se basa en los estándares más seguros de autenticación y encriptado existentes en la actualidad, haciendo uso de estándares inalámbricos empresariales; siendo su seguridad superior a las redes inalámbricas de casa o puntos de acceso comerciales. Como cualquier sistema, si no se configura correctamente, puede ocasionar problemas de seguridad: a eduroam no le afectan más estos problemas que a cualquier otra red empresarial. Para asegurar una configuración correcta, no hay pasos adicionales a los dados para configurar cualquier otra red inalámbrica que use el estándar WPA Enterprise(802.1x y EAP)

Puedes ver un resumen de la seguridad de eduroam en este enlace que ayuda a las organizaciones a configurar eduroam de forma correcta. Los usuarios deben asegurarse que:

• Deben seguir los procedimientos de instalación de eduroam que les facilite su organización; o
• usar perfiles proporcionados por la organización vía eduroam Configuration Assistant Tool (CAT) o geteduroam.

Las organizaciones que cuentan con instrucciones precisas y/o perfiles de instalación han tomado todas las medidas de seguridad necesarias, y los usuarios que las siguen se encuentran seguros, incluso cuando se usa TTLS-PAP como método de autenticación. Esto hace inapropiado decir que estas organizaciones son negligentes en términos de seguridad.

Solo las configuraciones incorrectas pueden derivar en los denominados ataques de "intermediario" o Man In the Middle a través de los puntos de acceso. Es importante que los usuarios confien en los puntos de acceso que presentan una conexión a "eduroam" ya que será auténtica. Si la configuración e instalación de los perfiles es correcta, asegurará que los datos de usuario solo se envíen a su organización. Estas comprobaciones son similares a las que realizas al introducir tus credenciales en la página de tu banco, por ejemplo, verificar el nombre de dominio y asegurarte del icono de "candado" que muestra el navegador está presente. Por último, indicar que los usuarios nunca deben deshabilitar las comprobaciones de seguiridad o aceptar certificados inválidos o falsos para conectarse a eduroam.

Los clientes de eduroam configurados correctamente nunca filtrarán las credenciales a los Puntos de Acceso, independientemente del tipo de autenticación que se use, y tampoco se conectarán a estas redes.

Se puede encontrar más información técnica en este enlace: wiki de eduroam.