Buena pregunta. No estoy 100% seguro de la respuesta y, por supuesto, también depende de muchos aspectos específicos de la configuración de su solución L2TP / IPsec.
A primera vista, parece muy probable que si el 'secreto compartido' se expone de tal manera, permitiría a un atacante por lo menos montar un ataque activo de hombre en el medio contra ti o tu universidad. En tal caso, el atacante debe poder observar / reenviar / modificar cualquier tráfico que pase por este túnel. Dependiendo del tipo de tráfico, esto podría incluir información segura como su contraseña. Sin embargo, es posible que su contraseña personal esté protegida a través de otra (s) capa (s) de seguridad.
Dependiendo de la configuración de IKE, también podría ser posible montar un ataque pasivo, mientras que el tráfico se analiza (al vuelo o después) y se extraen datos de él sin realizar un ataque MITM. Obviamente, esta es una forma de ataque más compleja, y existen algunos métodos IKE para el secreto de avance perfecto que podrían ayudar a mitigarla. Sin embargo, creo que esos métodos no serán efectivos en caso de un ataque MITM.
Dicho esto, este podría ser un riesgo "aceptable" desde la perspectiva de la Universidad. En un entorno de este tipo (que generalmente involucra un área física amplia del campus, con muchos puntos de red que son casi imposibles de controlar), generalmente se asume que obtener acceso a la red en sí es fácil / trivial. Por lo tanto, las capas de protección para los recursos se aplican a un nivel superior, por ejemplo. en la pila de aplicaciones, o por medios simples como SSL. Por lo tanto, podría ser una decisión legítima que la Universidad decida que la conexión L2TP / IPSec es simplemente una extensión de la red (ya abierta). Como tal, se supone que esta conexión en sí misma es insegura, pero debería tener capas de seguridad adicionales para mitigar cualquier exposición de este tipo.
Además, en referencia a la publicación de este 'secreto compartido': puede ser técnicamente difícil mantener en secreto un secreto compartido entre muchas partes, por lo que es mejor no confiar en su secreto y asumir que ya lo es. expuesto. O de lo contrario, los problemas técnicos o de otro tipo impiden que su universidad aplique un método diferente (por ejemplo, claves RSA) para proteger dicha conexión de red.
Entonces, aunque tiene muy buenas razones para preocuparse, realmente necesita ver el panorama general para saber si existe un riesgo real para usted o para su universidad. También es bueno no confiar en una conexión encriptada para proporcionar toda su seguridad. Recomendaría hablar con las personas de su universidad responsables de la seguridad y expresar esta preocupación. Es posible que haya tropezado con una debilidad y ellos deberían saberlo. De lo contrario, podrían explicar mejor por qué no hay razón para que esté preocupado.