Contraseña: “LOUVRE”, investigación revela las insólitas fallas de seguridad que acarreaba el museo

Mientras la policía sigue buscando las joyas robadas en el Museo del Louvre, el diario Libération publica un informe que pone de manifiesto un sistema de vigilancia obsoleto y vulnerable. Contraseñas evidentes, programas informáticos antiguos; las brechas en la seguridad del museo más visitado del mundo ya habían sido cuestionadas en distintas auditorías.

Mientras la policía sigue buscando las joyas robadas en el Museo del Louvre, el diario Libération publica un informe que pone de manifiesto un sistema de vigilancia obsoleto y vulnerable. Contraseñas evidentes, programas informáticos antiguos; las brechas en la seguridad del museo más visitado del mundo ya habían sido cuestionadas en distintas auditorías.

En un primer momento, la ministra de Cultura de Francia, Rachida Dati, había asegurado que “los dispositivos de seguridad del museo no habían fallado” el 19 de octubre, cuando con un montacargas cuatro  hombres ingresaron a plena luz del día al Louvre, y en cuestión de minutos, robaron joyas de la corona francesa de un valor estimado de 102 millones de dólares. Hoy, mientras el botín sigue sin aparecer y los detenidos siguen sin revelar su paradero, Dati reconoció ante el Senado que “las fallas en la seguridad realmente existieron” y que estaban tomando medidas de urgencia para fortalecer la protección del museo.

Tal vez, deberían empezar por el sistema informático, a juzgar por la investigación que publica el diario francés Libération, que ha pasado en revista varias auditorias que ponen de manifiesto que el Louvre estaba al corriente de las brechas de seguridad y, sin embargo, en muchos casos no las solucionó.

Contraseña: Louvre

Cualquiera sabe que a la hora de elegir una contraseña no debe usar una clave fácil, como 1234, su nombre o “contraseña”. Sin embargo, para acceder al servidor que gestionaba las cámaras de vigilancia del Museo del Louvre bastaba con teclear “LOUVRE”. Es lo que descubrió en 2014 la Agencia Nacional de Seguridad de los Sistemas de Información (Anssi) tras llevar a cabo una auditoría de los sistemas informáticos y, más concretamente, probar la red de seguridad. Los expertos no tuvieron más que ensayar con algunas contraseñas obvias  para poder acceder a “los equipos de protección y detección más críticos del museo, como el control de accesos, las alarmas y la videovigilancia”. Un delincuente que “lograra tomar el control podría facilitar el deterioro o incluso el robo de obras”, alertaron.

Entre otras cosas, esta brecha permitía “modificar los derechos otorgados a una tarjeta de acceso mediante la compromisión de la base de datos utilizada por el sistema de control de acceso mediante tarjetas”.

Otra vulnerabilidad detectada, “la red informática del museo del Louvre incluye algunos sistemas obsoletos (Windows 2000)”, señaló la Agencia. Por ello, la Anssi sugirió al Louvre crear contraseñas más complejas, corregir las vulnerabilidades de las aplicaciones y llevar a cabo “la migración de los sistemas obsoletos a versiones mantenidas por el editor [del software]”. ¿Qué hizo el Louvre para protegerse? “El museo no ha querido responder, pero documentos más recientes muestran que era necesario continuar con el apoyo de la Anssi”, informa Libération.

Una segunda auditoría terminada en 2017, también clasificada como “confidencial”, deploraba que “se hayan podido constatar graves deficiencias en el dispositivo global”, similares a las señaladas tres años antes. Si bien el museo “hasta ahora se ha salvado relativamente, ya no puede ignorar que podría ser objeto de un ataque cuyas consecuencias podrían ser dramáticas”, advierte el documento consultado por el diario francés.

A esto se añade que el sistema de seguridad informatizado Sathi, comprado a la empresa Thalès, carecía de mantenimiento. “En un documento técnico de licitación que data del verano de 2025, el software aparece en una sorprendente lista de ‘software que no se puede actualizar’. Con Sathi, hay nada menos que ocho programas afectados, que gestionan la videovigilancia, los controles de acceso, los servidores…”, apunta Libération.

A la obsolescencia de programas como Windows XP o Windows 2000, antivirus obsoletos, se agregan puestos de trabajo sin contraseñas ni cierre de sesión. Más allá de la informática, la auditoría despliega en 40 páginas recomendaciones de capacitación en los equipos de seguridad, resolver la mala gestión del flujo de los visitantes o la seguridad de los techos “accesibles durante las obras” de refacción…

¿Cuál fue la o las vulnerabilidades explotadas por los ladrones para el robo? Por lo pronto, los cuatro detenidos se han mostrado muy poco locuaces.