una investigación desnuda graves fallas de seguridad que permitieron el robo al museo

Cuando la investigación y detenciones sobre el trono de las joyas de la Corona de la galería de Apollon en el Museo del Louvre avanza, el diario Libération en Paris reveló hasta donde su seguridad había sido desdeñada a lo largo de varios años y ponía en peligro al museo, sus obras y su propio esquema de vigilancia.

Usaban la palabra Louvre como contraseña, un software obsoleto y que nunca había sido mantenido. Las actualizaciones se volvieron imposibles. Según su diagnóstico, “diez años de fallos de ciberseguridad en el museo más importante del mundo”.

Documentos consultados por CheckNews de Libération, como auditorías de seguridad confidenciales del museo y licitaciones, revelan la magnitud de las brechas en su ciberseguridad.

«Los sistemas de seguridad del museo no fallaron», insistió la ministra de Cultura, Rachida Dati, poco después del espectacular robo en el Museo del Louvre el 19 de octubre. Defendió a su directora y protegió a los empleados,

Diez días después, el tono había cambiado. El 28 de octubre, si bien afirmó que «las alarmas funcionaron», enfatizó ante el Senado que «sí existían fallas de seguridad». Su intención era «esclarecer por completo las fallas, deficiencias y responsabilidades».

Tres días después, Rachida Dati “anunció las primeras medidas de emergencia para auditar y abordar las vulnerabilidades de seguridad. ¿Se debe este rápido endurecimiento de las medidas de seguridad a lo que el Ministerio descubrió durante su investigación administrativa sobre la seguridad del Louvre?”, se pregunta Libé.

La magnitud de las fallas informáticas que han afectado al principal museo del mundo durante años podría haber influido. Libération “examinó documentos confidenciales y otros publicados en relación con licitaciones, revelando un largo historial de importantes vulnerabilidades de ciberseguridad en el Louvre, sobre las cuales el museo había sido advertido, pero que no se han corregido en su totalidad”.

A mediados de diciembre de 2014, llegaron tres expertos en ciberseguridad. “A petición del museo, la Agencia Nacional de Ciberseguridad de Francia (ANSSI) acudió para realizar una auditoría de los sistemas informáticos y, más concretamente, para probar la red de seguridad. Según la ANSSI, a esta red se conectan los equipos de protección y detección más críticos del museo, como el control de accesos, las alarmas y la videovigilancia. Un atacante que consiguiera controlarla podría facilitar daños o incluso el robo de obras de arte”, detalló Libération.

Las conclusiones de esta auditoría, revisada por CheckNews de Libé, se recogen en un documento de 26 páginas clasificado como de distribución restringida.

«Las aplicaciones y sistemas desplegados en la red de seguridad presentan numerosas vulnerabilidades«, explica la Agencia. Durante su prueba, los expertos lograron infiltrarse en la red de seguridad desde estaciones de trabajo de la red de la oficina.

«Desde este punto de acceso, es posible comprometer la red de seguridad» y, en consecuencia, «dañar el sistema de videovigilancia comprometiendo servidores obsoletos» y «modificar los permisos de una credencial comprometiendo la base de datos utilizada por el sistema de control de acceso» establecieron.

“Todos estos son ataques potencialmente viables por parte de un atacante externo al Louvre, que se habría infiltrado en las diversas redes del museo”, sostuvo el diario francés.

“¿Cómo lograron los expertos su intrusión? Principalmente aprovechando la debilidad de ciertas contraseñas, que la Agencia Nacional de Seguridad de la Información (ANSSI) francesa califica de «triviales»: basta con escribir «LOUVRE» para acceder a un servidor que gestiona la videovigilancia del museo, o «THALES» para acceder a uno de los programas informáticos publicados por Thales.

Además, la Agencia señala que «la red de oficinas del Museo del Louvre incluye algunos sistemas obsoletos (Windows 2000)», descubrió Libération.

En aquel momento, la ANSSI instó “al Louvre a tomar medidas correctivas: crear contraseñas más complejas, corregir las vulnerabilidades de las aplicaciones y migrar los sistemas obsoletos a versiones mantenidas por el fabricante del software”. Ante estas graves deficiencias, ¿cuáles de estas medidas implementó el Louvre? El museo declinó hacer comentarios, pero documentos más recientes demuestran que el apoyo continuo de la ANSSI era, en efecto, necesario.

Menos de un año después de la presentación de este documento, en octubre de 2015, la dirección del Louvre solicitó una nueva auditoría. Durante un año y medio, agentes del Instituto Nacional de Estudios Avanzados en Seguridad y Justicia visitaron las instalaciones y se reunieron con el personal del museo para evaluar las debilidades del sistema de seguridad.

“El informe de auditoría de seguridad, finalizado en 2017 y clasificado como confidencial, lamenta que se hayan observado deficiencias significativas en el sistema general, algunas similares a las señaladas en 2014. Si bien el museo se ha visto relativamente a salvo hasta ahora, ya no puede ignorar la amenaza potencial de un ataque con consecuencias potencialmente dramáticas, advierte el documento”, sostiene el diario.

La auditoría contiene 40 páginas de recomendaciones, que abarcan la gestión de los equipos de seguridad, su nivel de formación a veces insuficiente, la gestión deficiente del flujo de visitantes, la seguridad de las azoteas accesibles durante las obras y los sistemas de seguridad (videovigilancia, control de accesos, etc.).

«Las tecnologías están obsoletas y sufren fallos técnicos con frecuencia» y «los controles y el mantenimiento de los sistemas se realizan solo parcialmente», sostiene la auditoria.

En el departamento de informática, al igual que en 2014, el informe destaca que «algunas estaciones de trabajo tienen sistemas operativos obsoletos (Windows 2000 y Windows XP) que ya no garantizan una seguridad efectiva (sin actualizaciones de antivirus, sin contraseñas ni bloqueo de sesión, etc.)»

La auditoría también recomienda cambiar las contraseñas con mayor frecuencia. Una vez más, es imposible saber qué medidas ha implementado el Louvre para mitigar estos riesgos de intrusión, ya que la dirección del museo se negó a hacer comentarios.

Lo que sí es cierto es que, ocho años después, algunos sistemas obsoletos siguen sin actualizarse. “Los documentos técnicos, publicados por el Louvre entre 2019 y 2025 en respuesta a las licitaciones para el mantenimiento de las redes del museo, revelan la complejidad del tema. Esta complejidad se evidencia particularmente en la acumulación gradual, durante los últimos veinte años, de sistemas informáticos y software para gestionar la videovigilancia analógica y digital, la detección de intrusiones, el control de accesos y las tarjetas de identificación, así como la detección de obras de arte a corta distancia (CRD). Estos sistemas cuentan con sus propios servidores y, en ocasiones, con su propio software, parte del cual ha quedado obsoleto con el tiempo”, explicó Libération.

Por ejemplo, el monitoreo de la videovigilancia analógica y el control de accesos se gestiona mediante el software Sathi, según un documento de licitación pública de febrero de 2019. Esta solución, desarrollada por Thales, fue adquirida por el Louvre en 2003.

“Thales ya no desarrolla este sistema», indica el documento. «En cuanto a las actualizaciones, Thales no tenía un contrato de mantenimiento para este software y el Museo del Louvre no se puso en contacto con ella al respecto», declaró la empresa a CheckNews de Libération. Por lo tanto, las actualizaciones las gestionaban empresas externas cuando aún era posible.

La versión de Sathi parece estar obsoleta. En un documento técnico de licitación del verano de 2025, el software figura en una sorprendente lista de «software que no se puede actualizar».

Junto con Sathi, al menos ocho programas se ven afectados, gestionando la videovigilancia, el control de accesos, los servidores. Cada uno es una pieza clave para la seguridad del museo. Otro documento de 2021 revela que el software Sathi aún funcionaba en una máquina con Windows Server 2003, una solución que Microsoft dejó de soportar en 2015.

¿Ha tenido esta obsolescencia alguna consecuencia concreta para los centros de control de seguridad del Louvre en los últimos años?

A principios de 2025, la prefectura de policía de París inició una auditoría de la seguridad del museo, en particular de sus centros de control. Aún se desconocen los resultados y las conclusiones. Pero Vincent Annereau, responsable del estudio, declaró ante el Senado el 29 de octubre que el sistema informático «necesitaba modernizarse urgentemente».

«Lo que sí puedo asegurar es que la dirección del Louvre era plenamente de la necesidad de revisar a fondo el sistema de seguridad de todo el museo», sostuvo.

Las cámaras tampoco funcionaban. Habían vencido sus contratos en julio sin ser renovados. Solo cinco cámaras para 1,3 kilómetros de fachadas exteriores.

Ni el Louvre, ni la Jefatura de Policía, ni el Ministerio de Cultura quisieron hacer declaraciones al respecto a Libération.