eduroam es una iniciativa a nivel internacional que pretende crear un espacio único de movilidad dentro del ámbito académico. eduroam pone el foco en la seguridad del usuario, manteniendo a la vez la facilidad de uso.

eduroam ES, es el nombre que recibe la iniciativa en España, y es operado por RedIRIS, donde también se coordinan a las organizaciones participantes en dicha iniciativa en nuestro país. Este espacio único de movilidad agrupa a un amplio grupo de organizaciones que en base a una política de uso y una serie de requerimientos tecnológicos y funcionales, permiten que sus usuarios puedan desplazarse entre ellas, disponiendo en todo momento de servicios móviles que estos pudieran necesitar.

El objetivo último es que los usuarios al llegar a otra organización dispongan, de la manera más transparente posible, conexión segura a Internet, acceso a servicios y recursos de su organización origen, así como acceso a servicios y recursos de la organización que en ese momento les acoge.

Necesitarás saber si la organización a la que perteneces ya está en eduroam. Puedes encontrar un listado de todas las instituciones en España en este mismo sitio web. Aparte, necesitarás un dispositivo que soporte WPA/WPA2 Enterprise y que permita configurar el tipo de autenticación soportado por tu organización.

Si tu organización no está en eduroam, pero se trata de una institución perteneciente a la red académica, te aconsejamos solicites al servicio de informática de tu organización que se unan.

Puedes encontrar mapas mostrándote las ubicaciones donde encontrar eduroam tanto en España, como en el resto de países donde está disponible.

Deberás consultarlo a tu institución. Es muy posible que tu institución haga uso de la herramienta eduroam CAT, que permite una configuración segura que hayan preparado para ti los administradores de tu organización.

Con carácter general, debes seguir las instrucciones que facilite tu institución. Recomendamos en particular que cualquier duda que puedas tener, tanto cuando estás en tu propio campus o edificio, como si te encuentras fuera en otra organización, la dirijas siempre al personal técnico de tu propia institución. Es posible que si te encuentras fuera de tu organización puedas recibir soporte, pero es preferible ser siempre atendido por tu propia institución.

Dependerá del dispositivo, sistema operativo y del tipo de autenticación que soporte tu organización.

Un dispositivo que soporte PEAP, pero no EAP-TTLS no te permitirá conectarte si tu institución no soporta PEAP (o al contrario). Los dispositivos en general sólo soportan un subconjunto de modos EAP, por lo que es esencial que un técnico compruebe la compatibilidad.

Lo mejor es que consultes con el personal técnico de tu propia institución. Una configuración incorrecta, aparte de un funcionamiento deficiente, puede poner en riesgo los datos de tu cuenta.

Cada organización ha elegido sus modos de autenticación en función a cómo se adaptan estos a la infraestructura que ya tenían para dar soporte a la autenticación de sus usuarios en general (correo, aplicaciones web, campus virtuales, plataformas de e-learning,...).

Hay varios factores que habrán influido, tales como la seguridad o el coste, pero en cualquier caso, deberías plantear más bien la pregunta inversa, ¿por qué mi dispositivo no soporta el método de autenticación que me ofrece mi organización?

En una gran mayoría de casos, sobre todo en el caso de portátiles, móviles y tabletas, debería haber compatibilidad. Es preferible siempre seguir el procedimiento que indique tu organización, así como hacer uso de instaladores oficiales, si te los proporciona.

Determinados dispositivos es posible que puedan conectarse sólo si son compatibles con los métodos de autenticación que soporta tu institución, si bien en determinadas ocasiones no será posible una configuración automática (deberá realizarse de manera manual), e incluso a veces no podrá realizarse una configuración fiable o segura del todo, por limitaciones del dispositivo.

También es posible, aunque poco probable, que exista algún tipo de incompatibilidad entre el dispositivo y la red.

En todos estos casos, es preferible siempre consultar con el soporte técnico para recibir asesoramiento, antes de realizar una configuración que pueda poner en riesgo tu cuenta.

Sí. eduroam provee mecanismos para que el usuario pueda en todo momento facilitar sus credenciales allá donde se conecte, y estas se transmitan de manera segura a través de Internet. Esto sin embargo no excluye que se puedan realizar ataques a clientes que estén mal configurados.

Por otro lado, hay que tener en cuenta que la conexión a Internet, una vez el usuario se ha identificado para tener acceso a la misma, ofrece un nivel de seguridad equivalente a cualquier conexión a Internet, por tanto deberán tomarse las medidas habituales de protección del dispositivo que recomiende el fabricante o desarrollador del sistema operativo que utiliza el usuario.

El modelo de seguridad de eduroam está bien meditado y ha sido extensamente estudiado (puedes consultar por ejemplo la sección sobre seguridad en la RFC 7593). Tus credenciales están bien protegidas siempre que tu dispositivo esté correctamente configurado; esta configuración correcta es por tanto crucial. Siempre que los parámetros de configuración necesarios estén correctamente configurados, cualquiera de los métodos de autenticación usados habitualmente en eduroam (PEAP, TTLS-PAP, EAP-TLS) es seguro.

Tu proveedor de identidad eduroam te proporciona como mínimo unas instrucciones de instalación que permiten una configuración correcta y segura – la parte más crítica de estas, es la que permite configurar tu dispositivo para confiar en una Autoridad de Certificación (CA) y el nombre del servidor del proveedor de identidad-.

Muchos proveedores de identidad eduroam van un paso más lejos y te proporcionan programas de instalación o ficheros de configuración que contienen la información de seguridad relevante, a través de un proceso de instalación sencillo. Uno de estos programas es "eduroam CAT" - comprueba si tu institución está listada.

Haz uso de los programas de instalación o instrucciones de configuración proporcionadas por tu proveedor de identidad eduroam para estar a salvo de posibles ataques.

Si no sigues las instrucciones de configuración, o en el caso improbable de que el proveedor de identidad no te las proporcione, entonces los datos de la cuenta que usas para acceder a eduroam estarán en riesgo de ataques denominados Man-in-the-middle. Para los proveedores de identidad, no proporcionar suficientes instrucciones de configuración está en contra de la política de participación. Desde eduroam ES agradeceremos que nos notifiques en estos casos.

PD, este tipo de problemas no es específico de eduroam, cualquier despliegue de redes inalámbricas de tipo Enterprise está en la misma situación.

Podrían resumirse en sólo tres puntos

• Nunca facilites tus credenciales eduroam a través de un portal web. eduroam utiliza tecnología 802.1x, y sus usuarios no deberían facilitar sus credenciales en portales web (salvo que estés en tu propia institución, y esta así te lo haya indicado).

• Nunca confíes en un certificado del que no tengas garantías de su validez. Generalmente el software utilizado para conectarte (conocido como suplicante) te avisará cuando el certificado de tu organización presente algún problema. Si esto sucede, te recomendamos que contactes con los responsables de eduroam en tu organización y les comentes este tipo de incidencias.

• En general, sigue las normas habituales de protección de tu equipo de cara a conectarte a la red (mantén actualizado tu equipo, instala un antivirus o cortafuegos si lo precisas, no visites webs que podrían dañar tu equipo, etc...).

El que el identificador de la red sea eduroam no debería influir en la velocidad que obtengas al conectarte. Lo más habitual es que exista un problema de saturación de la red en el lugar desde el que te conectas, pero podrían existir otros problemas que habría que descartar, como interferencias, o algún problema técnico en la infraestructura de red inalámbrica.

Lo más aconsejable en estos casos es que contactes con el servicio de informática de tu organización y les plantees el problema, indicándoles el lugar y horas a las que has notado la lentitud en la conexión a Internet.

Las ventajas principales de la red eduroam frente a alternativas tradicionales con PSK (clave precompartida) se resumen en los siguientes puntos:

Seguridad y autenticación

Eduroam utiliza protocolos avanzados de autenticación segura basados en servidores RADIUS y métodos como PEAP, TTLS-PAP, o EAP-TLS, que protegen las credenciales del usuario y cifran el tráfico. Esto evita la vulnerabilidad que tienen las redes con PSK donde la clave compartida puede ser conocida o distribuida, debilitando la seguridad para todos los usuarios conectados.

La diferencia clave entre redes WiFi con PSK y eduroam en cuanto a la naturaleza de la clave es que en PSK la clave puede ser compartida o no, pero típicamente se comparte entre todos los usuarios que necesitan acceso, lo que implica que cualquier usuario con esa clave puede acceder y que la seguridad depende de mantener esa clave secreta. En cambio, con eduroam nunca se comparte la clave entre usuarios, porque la autenticación se realiza de manera individual a través del protocolo 802.1X usando credenciales propias (usuario y contraseña únicas para cada usuario o certificado individual con geteduroam), gestionadas por servidores RADIUS de la institución de origen. Esto significa que cada usuario tiene una clave personal que nunca se divulga a otros, y el acceso se verifica de forma segura con certificados y métodos como PEAP o EAP-TTLS, garantizando que la clave de acceso no sea compartida ni reutilizada.

Por tanto, eduroam ofrece una autenticación individual y segura, evitando que una clave común sea distribuida o expuesta, a diferencia de las redes con PSK convencional donde la seguridad se basa en mantener secreta una contraseña compartida. Esto mejora significativamente la seguridad y el control de acceso en entornos académicos y de investigación.

Movilidad y roaming global

Eduroam permite que usuarios con credenciales de una institución miembro se conecten automáticamente y de forma segura en cualquier otra institución o campus del mundo que use eduroam sin necesidad de configurar nuevamente la red. Esto facilita la movilidad académica y de investigación, eliminando la necesidad de cuentas temporales o invitadas, lo que no es posible con PSK tradicional.

Facilidad de uso para usuarios y administración

Para el usuario final, solo se configura una vez y el acceso posterior en cualquier lugar con eduroam es automático y seguro. Para las instituciones, reduce la carga administrativa de gestionar redes WiFi para visitantes y usuarios móviles, ya que no es necesario crear cuentas temporales ni proporcionar soporte constante para acceso WiFi.

Escalabilidad y compatibilidad con estándares modernos

Eduroam funciona con estándares de seguridad modernos y es compatible con tecnologías Wi-Fi avanzadas, incluidas las nuevas bandas Wi-Fi 6E y WPA3-Enterprise, asegurando un nivel alto de protección y soporte para dispositivos actuales y futuros, algo que redes PSK tradicionales no suelen ofrecer.

En resumen, eduroam supera a redes WiFi tradicionales con PSK en seguridad, movilidad global, facilidad de gestión y adopción de estándares modernos, haciéndola la opción ideal para entornos académicos y de investigación