Se han anunciado novedades sobre la vulnerabilidad ocasionada por el ataque de tipo Key Reinstallation Attack (KRACK) que posibilita el desencriptado de WPA2. Esto pude originar vulnerabilidades hacia los clientes y la seguridad e integridad de su tráfico web.

El ataque de tipo KRACK es un ataque contra la infraestructura inalámbrica y sus clientes, más que un ataque contra una red determinada. Esto quiere decir que eduroam no se ve más o menos afectada que otras redes inalámbricas, y no debes hacer nada concreto que no hayas realizado para securizar el resto de redes inalámbricas..

Actualmente, no hay información que indique que este tipo de ataque haya sido explotado, la parte positiva es que no se trata de un ataque que pueda realizarse de forma remota, pudiendo solo ocurrir cuando el atacante se encuentra muy cerca del Punto de Acceso vulnerable. Noes una vulnerabilidad que afecte al servicio de autenticación de eduroam, por tanto, la infraestructura funciona con normalidad transmitiendo tus credenciales de forma segura.

Se recomienda que los técnicos responsables de la conectividad inalámbrica monitoricen la disponibilidad de actualizaciones de software y las apliquen lo más rápido posible. An intermediate solution is to disable 802.11r (aka Fast Roaming) until an update is available.Update your phone, tablet and laptop as soon as patches are made available from your manufacturer to protect yourself from this vulnerability which can occur on all WPA2 networks (including your home, café, airport and other enterprise wireless networks).

Las redes obsoletas WPA o TKIP seguirán estando obsoletas por múltiples motivos y no deberías volver a habilitarlas debido a que no solucionan este problema y pueden llegar a ocasionar otros. La mejor práctica actualmente es (y continúa siéndolo) usar WPA2 + AES-CCMP.

Puede encontrar información adicional en SANS. Gracias a SURFnet, AARNet y TENET por la información usada para el desarrollo de este aviso.