El robo en el Museo del Louvre de París, ocurrido el pasado 19 de octubre, ha sacado a la luz las deficiencias en materia de ciberseguridad que durante años han puesto en riesgo la seguridad de la prestigiosa pinacoteca. Según las primeras investigaciones, el museo habría mantenido sus sistemas protegidos con programas obsoletos y contraseñas débiles, dejando una brecha que podría haber sido determinante en el incidente.
El robo, que incluyó la sustracción de varias joyas de la etapa imperial de Napoleón y Josefina, se produjo con el museo abierto al público. Este hecho ha generado muchas dudas sobre la seguridad de uno de los símbolos más reconocidos de la cultura francesa.
Una investigación administrativa de la Inspección General de Asuntos Culturales (IGAC) ha identificado fallos estructurales en los sistemas de seguridad del museo, a pesar de la existencia de protocolos y alarmas en funcionamiento. Según el informe, durante más de 20 años se ha subestimado el riesgo de robo de obras de arte, y los equipos de vigilancia externa resultan “claramente inadecuados”.
Fragilidad en las contraseñas de sistemas de seguridad clave
Aunque todavía no se ha determinado el papel exacto que jugaron los sistemas informáticos en el robo de octubre, los errores tecnológicos del museo vienen de lejos. El periódico Libération, que accedió a documentos de la Agencia de Ciberseguridad Francesa (ANSSI), los problemas ya eran evidentes en 2014, cuando una auditoría reveló que el Louvre seguía utilizando Windows 2000 y posteriormente Windows XP, sistemas que ya no reciben soporte.
Los expertos pudieron incluso infiltrarse en los sistemas del museo aprovechando vulnerabilidades tanto en las aplicaciones internas como en las redes informáticas. Gracias a esos fallos, lograron acceder a ordenadores de empleados y a una base de datos interna desde la que era posible modificar los niveles de acceso de credenciales específicas. También detectaron que era viable manipular el sistema de videovigilancia.
En aquel momento, las contraseñas eran tan simples que agravaron la situación. La auditoría descubrió que la clave del servidor de videovigilancia era LOUVRE, y otro software desarrollado por la empresa Thales utilizaba como contraseña THALES.
Desde la Agencia de Ciberseguridad se recomendó reforzar las medidas de seguridad y renovar los accesos, pero documentos posteriores vseñalan que el museo sigue dependiendo de al menos ocho programas obsoletos que no pueden actualizarse y que controlan áreas críticas de vigilancia.
El caso ha abierto un profundo debate en Francia sobre la protección digital del patrimonio cultural, evidenciando que incluso las instituciones más emblemáticas pueden ser vulnerables si no se adaptan a las exigencias de la ciberseguridad moderna.