El 19 de octubre, una banda de encapuchados robó una colección imperial en el Museo del Louvre en apenas cuatro minutos, convirtiéndose en uno de los robos más audaces de la historia de Francia. Esta acción se llevó a cabo en un museo que presentaba serias deficiencias en su ciberseguridad, aspectos señalados años atrás por la Agencia Nacional de Seguridad de la Información (ANSSI) de Francia.

Documentos filtrados recientemente revelan los graves problemas de seguridad que afectaban a la institución desde hacía más de una década. El medio Libération, a través de CheckNews, ha detallado errores de seguridad alarmantes en el museo, uno de los cuales incluía el uso del propio nombre del Louvre como contraseña para servicios críticos.

«LOUVRE», la contraseña del Museo

En documentos oficiales publicados, se expone no solo el origen de estos fallos en el sistema, sino también su gravedad, los cuales estuvieron presentes durante al menos diez años.

CheckNews menciona una auditoría de sistemas informáticos efectuada en 2014 por agentes de la ANSSI, cuyo objetivo era evaluar la red de seguridad del museo. Como resultado, se generó un contundente documento de 26 páginas señalando las «numerosas vulnerabilidades en las aplicaciones y redes de seguridad del museo».

Los expertos de la ANSSI identificaron estas vulnerabilidades y demostraron su capacidad para infiltrarse en las redes del museo desde diversos puntos, incluyendo estaciones de trabajo dentro del Louvre.

La ANSSI concluyó que desde varios accesos era posible «comprometer la red de seguridad y modificar los derechos de acceso al comprometer la base de datos del sistema de control de acceso». También se podía «dañar el sistema de videovigilancia al comprometer unos servidores internos» que la misma ANSSI consideraba obsoletos. El organismo determinó que estos fallos serían fácilmente explotables por atacantes externos al museo.

En esencia, varias de las contraseñas críticas del sistema de seguridad eran sumamente inseguras. Por ejemplo, para acceder al servidor de videovigilancia, solo se necesitaba introducir «LOUVRE». Esto significa que el nombre del museo era la contraseña.

Además, para acceder a uno de los programas críticos del sistema, la contraseña era «THALES». Este software, Sathi, fue adquirido por el museo en 2003 y ya no es desarrollado por su creadora. Según la ANSSI, la red de oficinas del museo empleaba sistemas tan antiguos como Windows 2000.

La Agencia de Seguridad solicitó al museo que remediara estos problemas, implementando contraseñas más seguras, abordando vulnerabilidades y actualizando sus sistemas.

Lo curioso es que en octubre de 2015, apenas un año después de la primera auditoría, el Louvre solicitó otra. Libération informa que el Instituto Nacional de Estudios Avanzados en Seguridad evaluó las deficiencias aún presentes en el sistema. El informe, concluido en 2017, manifestó que el museo había estado relativamente a salvo hasta ese momento, pero advertía sobre la «imposibilidad de ignorar la amenaza potencial de un ataque cuyas consecuencias podrían ser drásticas.»

Aunque el Instituto menciona problemas más allá del ámbito informático, esta área también enfrenta serias falencias, incluyendo la utilización de Windows 2000 y Windows XP como sistemas operativos, contraseñas débiles y más.

En total, documentos de 2021 y 2025 identificaron hasta 8 programas obsoletos que eran imposibles de actualizar, entre ellos Sathi, encargado de gestionar áreas críticas como el control de acceso y la videovigilancia, ejecutándose en un ordenador con Windows Server 2003.

La situación más alarmante es que, según una auditoría de 2025 relacionada con la seguridad del museo, la dirección del Louvre era consciente de estos problemas durante años.

Sin embargo, es importante señalar que no existen pruebas concretas que vinculen estos problemas de ciberseguridad con el reciente robo en el Louvre, a pesar de las deficiencias identificadas. Los documentos y auditorías son confidenciales, por lo que no se puede determinar con certeza qué medidas se implementaron según las recomendaciones de la ANSSI y el Instituto.

Fuente:
El Español

Con Información de blog.segu-info.com.ar