Documentos filtrados revelan que el museo utilizaba contraseñas como “LOUVRE” o “THALES” para acceder a sistemas críticos, pese a las advertencias de la agencia de ciberseguridad francesa.
El pasado 19 de octubre, una banda de encapuchados protagonizó en París uno de los robos más impresionantes de la historia de Francia, haciéndose en apenas cuatro minutos con una valiosa colección imperial del Museo del Louvre.
Poco después del asalto, documentos filtrados han revelado que la institución sufría graves deficiencias en materia de ciberseguridad, algunas de ellas conocidas y documentadas desde hacía más de una década.
Contraseñas inseguras
Según una investigación, el museo operaba con fallos informáticos de enorme magnitud. Entre los más llamativos se encuentra el uso del propio nombre del museo como contraseña para acceder a los servidores de videovigilancia: “LOUVRE”.
Otro de los sistemas críticos se protegía con la clave “THALES”, en referencia a la empresa desarrolladora del software Sathi, encargado de la supervisión de la videovigilancia analógica y del control de accesos del museo. Esta herramienta, adquirida en 2003, ya no cuenta con soporte técnico.
Auditorías ignoradas
Los documentos citados incluyen una auditoría interna realizada en 2014 por la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI), que describía un panorama “demoledor”: redes vulnerables, software obsoleto y contraseñas débiles.
La ANSSI demostró que era posible infiltrarse en las redes internas del museo desde estaciones de trabajo dentro de sus instalaciones, e incluso manipular derechos de acceso o desactivar la videovigilancia con relativa facilidad.
Pese a las recomendaciones de reforzar las medidas de seguridad y actualizar los sistemas, el museo no corrigió completamente las deficiencias. En 2015, una segunda auditoría realizada por el Instituto Nacional de Estudios Avanzados en Seguridad volvió a advertir sobre los mismos riesgos.
El informe de 2017 señalaba que, aunque el museo se había mantenido “relativamente a salvo”, la amenaza de un ataque con consecuencias “dramáticas” era evidente.
Sistemas obsoletos y vulnerables
La red del Louvre, según los informes, aún utilizaba Windows 2000, Windows XP y Windows Server 2003, sistemas considerados altamente inseguros. Además, varios programas esenciales para el control de accesos y servidores estaban tan desactualizados que ya no podían recibir parches de seguridad.
Un reporte posterior, fechado entre 2021 y 2025, identificó ocho programas obsoletos imposibles de actualizar, incluyendo Sathi, que seguía en uso en servidores críticos.
Lo peor de toda esta situación es que tal y como menciona el medio, en base a una auditoría realizada en 2025 también referente a la seguridad del museo, la dirección del Louvre era consciente de todos estos problemas durante años.