El pasado 19 de octubre, saltaba la noticia en España: una banda de encapuchados se hacía con una colección imperial en el Museo del Louvre en apenas cuatro minutos, constituyéndose como uno de los robos más impresionantes de la historia de Francia.
Un robo que se perpetró en un museo que sufría de graves carencias de ciberseguridad, y que se señalaron años atrás por organismos tan importantes como la Agencia Nacional de Seguridad de la Información (ANSSI) de Francia.
El medio Libération de la mano de CheckNews ha podido detallar una serie de errores de seguridad garrafales que sufría el museo. Uno de ellos, por ejemplo, implicaba el uso del mismo nombre del Louvre como contraseña para servicios críticos.
«LOUVRE», la contraseña del Louvre
En una serie de documentos oficiales publicados por el portal, podemos leer no solo cómo se gestaron estos fallos informáticos, sino la magnitud de los mismos, que estuvieron presentes durante al menos una década en el museo.
CheckNews cita una auditoría de sistemas informáticos realizadas por agentes y expertos de la ANSSI, que buscaban probar la red de seguridad de la institución. Hablamos de una auditoría realizada a finales de 2014.
Tras la misma, se creó un demoledor documento de 26 páginas en las que se hablaba de las «numerosas vulnerabilidades» que presentaban tanto las apps como las redes de seguridad del museo.
Los expertos de la ANSSI descubrieron estas vulnerabilidades, y las aprovecharon para infiltrarse en las redes del museo desde varios puntos concretos, incluyendo estaciones de trabajo ubicados en el Louvre.
Con esta premisa, la ANSSI estableció que desde varios puntos de acceso, era posible desde «comprometer la red de seguridad» hasta «modificar los derechos de acceso otorgados a una credencial al comprometer la base de datos utilizada por el sistema de control de acceso».
También era posible dañar el sistema de videovigilancia con tan solo comprometer unos servidores internos que la misma ANSSI calificaba como obsoletos. El organismo sentenció que todos estos fallos serían fácilmente explotables por atacantes externos al museo.
Atraco en el Louvre
Reuters
La clave de las intromisiones de la ANSSI en estos sistemas está en las contraseñas, cada vez menos presentes en el panorama tecnológico con el auge de las llamadas llaves de acceso y tan criticadas por firmas como Microsoft o Google.
Básicamente, varias de las contraseñas críticas de los sistemas de seguridad eran ridículamente inseguras. Por ejemplo, para acceder al servidor que gestaba la videovigilancia, solo había que introducir «LOUVRE». Sí, el nombre del museo era la contraseña.
No solo eso; para acceder a uno de los programas críticos del sistema, la contraseña era THALES. Por si fuera poco, estos entornos estaban aderezados con sistemas y piezas de software ya obsoletos.
¿Por qué THALES? Pues bien, Thales era la desarrolladora del software Sathi, utilizado para la «supervisión de la videovigilancia analógica y el control de accesos» del museo, comprado por la institución artística en el año 2003. Thales ya no desarrolla esta solución.
Los exteriores del Louvre, poco después de que se perpetrase el robo.
EFE
EFE
Según la ANSSI, la red de oficinas del Museo incluye sistemas tan antiguos como Windows 2000. Un sistema que bajo los estándares de hoy, resulta no solo inseguro sino difícilmente practicable.
La Agencia de Seguridad gala pidió por favor al museo que arreglara estos fallos, implementando contraseñas con mayor seguridad, aplicar correcciones a las vulnerabilidades y que se actualizaran los sistemas.
Lo más llamativo es que en octubre de 2015, poco más de un año después de que la ANSSI realizara la primera auditoría, el Louvre pidió otra más. Libération relata que el Instituto Nacional de Estudios Avanzados en Seguridad evaluó las aún presentes deficiencias del sistema.
El informe concluyó en 2017, y no fue mucho mejor. «Hasta ahora se ha visto relativamente a salvo», apostillaba el informe, pero advertía que era imposible «ignorar la amenaza potencial de un ataque cuyas consecuencias podrían ser dramáticas».
Así fueron los siete minutos del robo en el Louvre.
Sandra Vilches
Aunque el Instituto va más allá de los departamentos informáticos y relata problemas graves, en este sector también se mencionan problemas recurrentes. Windows 2000 y Windows XP como sistemas operativos, contraseñas débiles y un largo etcétera.
El problema es que estos documentos, así como las auditorías, son de carácter confidencial. No es posible determinar de forma tajante qué medidas recomendadas tanto por la ANSSI como por el Instituto se llevaron a cabo.
Únicamente se pueden mencionar detalles garrafales; programas que estaban tan desactualizados que no se podían actualizar y sistemas tan débiles que no se pueden utilizar bajo los estándares de ciberseguridad manejados a día de hoy.
En total, y tal y como relatan documentos posteriores de 2021 y 2025 respectivamente, se establecieron hasta 8 programas obsoletos que eran imposibles de actualizar, como es el caso de Sathi.
La policía científica trabaja en una sala del Museo del Louvre,
Reuters
Dichos programas gestionaban áreas tan sensibles como el control de acceso, los servidores o la videovigilancia, todas relacionadas con la seguridad del museo. Sathi, de hecho, se ejecutaba en un ordenador con Windows Server 2003.
Sin embargo, es importante destacar que no hay pruebas fehacientes que relacionen estos problemas de ciberseguridad con el reciente robo del Louvre, pese a las deficiencias mostradas.
Lo peor de toda esta situación es que tal y como menciona el medio, en base a una auditoría realizada en 2025 también referente a la seguridad del museo, la dirección del Louvre era consciente de todos estos problemas durante años.