La contraseña de uno de los servidores del Louvre era el propio nombre del museo

El 19 de octubre de 2025 París se levantaba con una de las noticias más impactantes de su historia: unos ladrones habían robado piezas muy valiosas del museo Louvre en apenas 8 minutos. La investigación continúa abierta, el botín en paradero desconocido y cuatro imputados, hasta el momento.

Se ha conocido que la Agencia Nacional de Seguridad de la Información (ANSSI), uno de los organismos más importantes de Francia en materia de ciberseguridad, llevaba tiempo advirtiendo de las carencias. En esa línea, el medio parisino `Libération´ ha comentado de la mano de `CheckNews´ algunos de los fallos de seguridad que tenía el edificio.

Unas contraseñas ridículas

En una serie de documentos oficiales difundidos por el citado portal, se detalla cómo se originaron los fallos informáticos del Louvre y su alcance, que se ha descubierto que se prolongó durante más de diez años en el museo.

CheckNews hace referencia a una auditoría de los sistemas informáticos llevada a cabo por técnicos y especialistas de la ANSSI, con el objetivo de poner a prueba la red de seguridad de la institución. El resultado de la evaluación fue un demoledor informe de 26 páginas realizado a finales de 2014, en el que se identificaron "numerosas vulnerabilidades" tanto en las aplicaciones como en la infraestructura de red del museo.

En el transcurso de la auditoría, los especialistas de la ANSSI penetraron en las redes internas de sus servidores, y hallaron que era factible modificar o desactivar el sistema de videovigilancia simplemente comprometiendo algunos servidores internos, considerados obsoletos en ese momento. La entidad determinó que todos estos fallos podían ser aprovechados con facilidad por atacantes externos.

Una de las cosas más surrealistas de este caso eran las contraseñas utilizadas para acceder a ciertos lugares del servidor. Para entrar al sistema de videovigilancia, por ejemplo, había que poner la contraseña `Louvre´, es decir, el nombre del propio museo, lo que resulta insólito en una entidad de tal calibre.

Pero la cosa no queda ahí, ya que se ha descubierto que para entrar a otros lugares sensibles la contraseña era `Thales´. ¿Y qué hay detrás de esta palabra? Es el nombre de la compañía que creó el software Sathi, que se compró en el 2003 y tenía como objetivo administrar el control de accesos y la videovigilancia analógica. No obstante, la empresa dejó de desarrollar esta plataforma hace tiempo, lo que resultó en que el Louvre tuviera que depender de un sistema antiguo sin actualizaciones de seguridad.

Sistemas operativos obsoletos

La ANSSI descubrió que el museo utilizaba Windows 2000, una versión de la compañía completamente desfasada y que resulta difícilmente practicable hoy en día. La agencia solicitó al Louvre que solucionara todos los problemas de ciberseguridad que tenían, empezando por cambiar sus sistemas operativos.

Una vez acabada esta auditoría, el museo pidió otra en 2015 y las conclusiones no fueron mucho mejores: "Hasta ahora se ha visto relativamente a salvo, pero es imposible ignorar la amenaza potencial de un ataque cuyas consecuencias podrían ser dramáticas", rezaba el informe. Con todo esto y sumado a nuevos documentos que se realizaron en los años posteriores, se concluyó que había 8 programas anticuados e imposibles de actualizar, entre ellos Sathi. Este programa era ejecutado en un ordenador con Windows Server 2003.

A pesar de ello, no se puede confirmar con total seguridad que todos estos errores tengan relación directa con el hurto producido el 19 de octubre de 2025. Si bien se puede considerar un robo de película, el museo del Louvre conocía de primera mano los fallos de seguridad virtual que tenían, tal y como han demostrado los numerosos informes.