El pasado 19 de octubre, una banda de encapuchados se hizo con una colección
imperial en el Museo del Louvre en apenas cuatro minutos, constituyéndose como
uno de los robos más impresionantes de la historia de Francia. Un robo que se
perpetró en un museo que sufría de graves carencias de ciberseguridad, y que
se señalaron años atrás por organismos tan importantes como la
Agencia Nacional de Seguridad de la Información (ANSSI) de Francia.
Documentos filtrados recientemente citan las gravísimas deficiencias que
sufría la institución desde hacía años, incluso más de una década atrás. El
medio
Libération de la mano de CheckNews ha podido detallar
una serie de errores de seguridad garrafales que sufría el museo. Uno de
ellos, por ejemplo, implicaba
el uso del mismo nombre del Louvre como contraseña para servicios
críticos.
«LOUVRE», la contraseña del Louvre
En una serie de documentos oficiales publicados por el portal, podemos leer no
solo cómo se gestaron estos fallos informáticos, sino la magnitud de los
mismos, que estuvieron presentes durante al menos una década en el museo.
CheckNews cita una auditoría de sistemas informáticos realizadas en 2014 por
agentes y expertos de la ANSSI, que buscaban probar la red de seguridad de la
institución. Tras la misma, se creó un demoledor documento de 26 páginas en
las que se hablaba de las
«numerosas vulnerabilidades que presentaban tanto las apps como las redes
de seguridad del museo».
Los expertos de la ANSSI descubrieron estas vulnerabilidades, y las
aprovecharon para infiltrarse en las redes del museo desde varios puntos
concretos, incluyendo estaciones de trabajo ubicados en el Louvre.
Con esta premisa, la ANSSI estableció que desde varios puntos de acceso, era
posible desde
«comprometer la red de seguridad hasta «modificar los derechos de acceso
otorgados a una credencial al comprometer la base de datos utilizada por el
sistema de control de acceso». También era
«posible dañar el sistema de videovigilancia con tan solo comprometer unos
servidores internos»
que la misma ANSSI calificaba como obsoletos. El organismo sentenció que todos
estos fallos serían fácilmente explotables por atacantes externos al museo.
Básicamente, varias de las contraseñas críticas de los sistemas de seguridad
eran ridículamente inseguras.
Por ejemplo, para acceder al servidor que gestaba la videovigilancia, solo
había que introducir «LOUVRE». Sí, el nombre del museo era la contraseña.
No solo eso; para acceder a uno de los programas críticos del sistema, la
contraseña era THALES. Por si fuera poco, estos entornos estaban aderezados
con sistemas y piezas de software ya obsoletos. ¿Por qué THALES? Pues bien,
Thales era la desarrolladora del software Sathi, utilizado para la
«supervisión de la videovigilancia analógica y el control de accesos»
del museo, comprado por la institución artística en el año 2003. Thales ya no
desarrolla esta solución.
Según la ANSSI, la red de oficinas del Museo incluía (¿incluye?) sistemas
tan antiguos como Windows 2000.
La Agencia de Seguridad gala pidió por favor al museo que arreglara estos
fallos, implementando contraseñas con mayor seguridad, aplicar correcciones a
las vulnerabilidades y que se actualizaran los sistemas.
Lo más llamativo es que en octubre de 2015, poco más de un año después de que
la ANSSI realizara la primera auditoría, el Louvre pidió otra más. Libération
relata que el Instituto Nacional de Estudios Avanzados en Seguridad evaluó las
aún presentes deficiencias del sistema. El informe concluyó en 2017, y no fue
mucho mejor. «Hasta ahora se ha visto relativamente a salvo»,
apostillaba el informe, pero advertía que era
«imposible ignorar la amenaza potencial de un ataque cuyas consecuencias
podrían ser dramáticas».
Aunque el Instituto va más allá de los departamentos informáticos y relata
problemas graves, en este sector también se mencionan problemas recurrentes.
Windows 2000 y Windows XP como sistemas operativos, contraseñas débiles y un
largo etcétera.
En total, y tal y como relatan documentos posteriores de 2021 y 2025
respectivamente, se establecieron hasta 8 programas obsoletos que eran
imposibles de actualizar, como es el caso de Sathi. Dichos programas gestionaban áreas tan sensibles como el control de acceso,
los servidores o la videovigilancia, todas relacionadas con la seguridad del
museo. Sathi, de hecho, se ejecutaba en un ordenador con Windows Server 2003.
Lo peor de toda esta situación es que tal y como menciona el medio, en base a
una auditoría realizada en 2025 también referente a la seguridad del museo, la
dirección del Louvre era consciente de todos estos problemas durante años.
Sin embargo,
es importante destacar que no hay pruebas fehacientes que relacionen estos
problemas de ciberseguridad con el reciente robo del Louvre, pese a las deficiencias mostradas. El problema es que estos documentos, así como las auditorías, son de
carácter confidencial. No es posible determinar de forma tajante qué medidas
recomendadas tanto por la ANSSI como por el Instituto se llevaron a cabo.
Fuente:
El Español