El llamativo descuido de los sistemas de seguridad del Louvre: una contraseña muy cuestionada en ciberseguridad

Las deficiencias de los sistemas del Louvre se han visto expuestas tras la filtración de documentos que demuestran más de una década de insuficiencia en la red de ciberseguridad del museo. Entre las carencias que se ha mostrado que arrastraba la entidad está la filtración de la contraseña del servidor de vigilancia.

El pasado 19 de octubre el mundo presenció el asalto más grande que ha sufrido el arte en los últimos años. En menos de cinco minutos, en la ciudad de París, una banda de encapuchados con chalecos fluorescentes se colaba en la sala Apolo del Louvre y llevaban a cabo uno de los mayores robos de la historia de Francia. Los ladrones se llevaron parte de joyas que pertenecían a la colección de Napoleón.

Ante este hecho, se han iniciado numerosas investigaciones y se ha demostrado que el Louvre, uno de los museos más conocidos internacionalmente y con mayor prestigio, contaba con un sistema de seguridad obsoleto. La Agencia Nacional de Seguridad de la Información (ANSSI) ya había señalado años atrás estas incidencias en la estructura de ciberseguridad.

El medio Libération junto con CheckNews se han encargado de numerar una a una todas las deficiencias que presenta la red informática del museo francés. ¿La que más ha llamado la atención de la gente? Que la contraseña del Louvre fuese el mismo nombre.

La contraseña que conocía todo el mundo

Los fallos informáticos no han sido tan alarmantes como la propia magnitud de estos que han formado parte del museo por más de diez años sin ser renovados. Agentes expertos del ANSSI que querían probar la red de seguridad de la institución realizaron una auditoría de los sistemas informáticos que presentaron a finales del 2014.

El documento demoledor de aquel entonces contaba con 26 páginas que retrataban las numerosas vulnerabilidades. Dichas fragilidades de la entidad fueron la llave que servía para filtrarse en varios puntos concretos entre los que se encuentran las estaciones de trabajo del Louvre. Según la ANSSI esos puntos no solo comprometían la red de seguridad, sino que también permitían modificar los derechos de acceso otorgados a una credencial al comprometer la base de datos utilizada por el sistema de control de acceso.

La fragilidad de la red de videovigilancia podía ser dañada en el instante que se compró metían los servidores internos que la ANSSI describía como anticuados.

El punto clave de estas intromisiones se encuentra en las contraseñas –según el ANSSI–, que cada vez van siendo suplantadas por el auge de las llaves de acceso las cuales son tan criticadas por parte de entidades como Microsoft o Google.

La incongruencia del sistema que más ha llamado la atención se trata de la filtración de la contraseña del sistema de videovigilancia. LOUVRE, esa era la contraseña de acceso a los servidores de uno de los museos más visitados del mundo. La contraseña era tan fácil e insegura que la conocían todos aquellos que conocían el nombre del museo.

Asimismo, la contraseña de uno de los programas más importantes de la entidad se trataba de THALES. ¿Por qué ese nombre? Pues se conoce que Thales era la desarrolladora del software Sathi, utilizado para la "supervisión de la videovigilancia analógica y el control de accesos" del museo, comprado por la institución 2003. Thales ya no desarrolla esta solución.

La fragilidad del Louvre

Según la ANSSI, la red administrativa del Museo aún operaba con sistemas tan arcaicos como Windows 2000, un programa tecnológico que hoy no solo resulta inseguro, sino casi impracticable. La Agencia de Seguridad francesa instó al museo a poner orden en ese laberinto digital: reforzar contraseñas, corregir vulnerabilidades y, sobre todo, actualizar sus sistemas.

Lo más sorprendente es que, en octubre de 2015 —poco más de un año después de la primera auditoría—, el Louvre solicitó otra revisión. Según Libération, el Instituto Nacional de Estudios Avanzados en Seguridad detectó que muchas deficiencias seguían intactas.

El informe final, concluido en 2017, tampoco ofreció un panorama alentador: “Hasta ahora se ha visto relativamente a salvo”, señalaba, aunque advertía que sería un error “ignorar la amenaza potencial de un ataque cuyas consecuencias podrían ser dramáticas”.

Más allá de los fallos estructurales, el informe incidía en los problemas informáticos: sistemas anclados en Windows 2000 o XP, contraseñas débiles y una larga lista de carencias.El inconveniente es que tanto los documentos como las auditorías permanecen bajo estricta confidencialidad, por lo que es imposible saber con certeza qué recomendaciones de la ANSSI o del Instituto fueron realmente implementadas.

Apenas se conocen algunos detalles alarmantes: programas tan desfasados que ya no admitían actualización y sistemas tan vulnerables que no cumplirían ni de lejos los estándares actuales de ciberseguridad.

En total, según documentos de 2021 y 2025, se identificaron hasta ocho programas obsoletos imposibles de modernizar, entre ellos Sathi, responsable de la gestión de áreas tan críticas como el control de accesos, los servidores o la videovigilancia. Este último corría, como un reloj de arena en la era digital, sobre un ordenador con Windows Server 2003.

No obstante, no existen pruebas concluyentes que vinculen estas brechas con el reciente robo en el Louvre, pese a las deficiencias detectadas. Lo más inquietante es que, de acuerdo con una auditoría de 2025, la dirección del museo era plenamente consciente de estos fallos desde hacía años.