El caso Louvre y cómo no usar las contraseñas

El caso Louvre y cómo no usar las contraseñas

¿Prefieres un resumen de este blog? ¡Da click en el botón de abajo y deja que ChatGPT te lo cuente! (también puedes probar con Perplexity)

Después del robo reportado el pasado 19 de octubre en el Museo de Louvre, todas las instituciones de Francia empezaron a revisar la seguridad del sitio y encontraron que una de las contraseñas que usaban en su sistema de vigilancia era ‘Louvre’.

El incidente de octubre de este año llevó a que el senado francés empezara a discutir sobre la seguridad física y la seguridad informática de uno de los museos más visitados del mundo.

Una delegación de senadores franceses visitó el museo recientemente según reportó el Washington Post. El grupo de legisladores reconoció que la seguridad “no se ajusta” a los estándares modernos.

El senador Laurent Lafon, presidente de la Comisión de Cultura del Senado, afirmó: “Todos hemos observado que el equipo de seguridad no es adecuado para un museo del siglo XXI como el Louvre. Es nuestro buque insignia, debe ser ejemplar”.

Contenido relacionado: Cómo blindar tu negocio de ciberataques: ransomware, malware, ataques de día cero y más

Louvre: una contraseña ¿fuerte?

El periódico francés Libération reviso datos de una auditoría realizada hace más de 10 años en la que se encontró que la contraseña del sistema de videovigilancia del museo era literalmente ‘Louvre’.

Por si fuera poco, el informe que entregó la auditoría también reveló que la contraseña para acceder a otro software de vital importancia para el museo era ‘THALES’. Sin números, sin caracteres especiales, sin ningún obstáculo para un atacante.

Puede que no parezca fácil de adivinar, hasta que se descubre que la contraseña obedece al nombre del fabricante del software. Es como si al sistema corporativo basado en Microsoft se le pusiera la contraseña ‘Microsoft’.

En 2014, la Agencia Nacional de Seguridad Cibernética de Francia (ANSSI) auditó los sistemas informáticos críticos del museo, encargados del control de las alarmas, el monitoreo del acceso y la videovigilancia.

En esa ocasión los expertos de la ANSSI pudieron infiltrarse en el sistema de seguridad, manipular las imágenes de las cámaras e incluso modificar el acceso de las tarjetas de identificación del personal sin mucha dificultad.

Posteriormente en 2017, la ANSSI advirtió que, aunque el museo “se ha librado relativamente hasta ahora, ya no puede ignorar la amenaza potencial de un ataque cuyas consecuencias podrían ser dramáticas”.

Desde entonces se advirtió al Louvre de que “un atacante que lograra tomar el control de estos sistemas podría facilitar el daño o incluso el robo de obras de arte”, aunque hasta el momento no se ha encontrado una relación entre el robo del 19 de octubre y las fallas de ciberseguridad.

Javvad Malik, asesor de ciberseguridad de la empresa de software KnowBe4, declaró al Daily Mail: “Los sistemas de videovigilancia del museo estaban protegidos por contraseñas sorprendentemente sencillas”.

“Cuando los sistemas que protegen tesoros culturales de valor incalculable dependen de credenciales fáciles de adivinar, no se trata de una laguna en la política, sino de una invitación, un indicador de que la cultura general de la seguridad puede ser débil”.

Contenido relacionado: Así es como los ciberdelincuentes aprovechan la IA agéntica en sus actividades

Software de museo

En redes sociales los usuarios no tardaron en sacar provecho de las contraseñas débiles del museo y de sus problemas con el software obsoleto. Si en un museo se preservan cosas de antaño, no es sorpresa que quisieran también conservar el software antiguo. ¿No?

Una auditoría de seguimiento realizada en 2015, cuyos resultados se archivaron discretamente, describió “graves deficiencias”, entre ellas una gestión defectuosa de los visitantes, el acceso libre a la azotea durante las obras de renovación y un software tan antiguo que debería estar expuesto en un museo.

El Louvre no solo tenía contraseñas ridículamente débiles, sino que además el museo utilizaba una versión obsoleta de Windows.

Eso pasaba entonces. Y sigue pasando ahora.

Según reporta Vice, diez años después de las primeras auditorías, en pleno 2025, gran parte de esa misma infraestructura sigue en uso, funcionando con Windows Server 2003, cuyo soporte dejó de estar disponible desde hace más de una década.

Usuarios comparten en Reddit sus experiencias relacionadas con las contraseñas débiles como la del Louvre

Ciberseguridad, más importante que nunca

Si bien el robo del pasado 19 de octubre obedeció principalmente a fallos en la seguridad física del museo, la revisión de las auditorías anteriores sobre ciberseguridad confirman que se trató más de una falla enla ‘cultura’ de la seguridad informática.

Esto pasa cuando ni los directivos, ni los empleados, ni los encargados de tecnología se enfocan en promover comportamientos, procesos o actividades encaminadas a mejorar la seguridad en la organización.

Acciones tan básicas como implementar un gestor de contraseñas, auditar la extensión o la complejidad de las mismas o actualizar el software de todos los dispositivos, pueden repercutir en la sensación de seguridad del equipo humano y por ende, en su compromiso con el cuidado de la información.

La buena noticia es que por lo general, estas situaciones llegan con aprendizajes. En el caso del Louvre ya hay personas detenidas por el robo y se ha iniciado un ambicioso plan para traer el museo al siglo XXI.

A inicios de este año se anunció el ‘Nuevo Renacimiento del Louvre’, un proyecto de renovación cuyo cumplimiento tomará cerca de diez años y que incluye diversas mejoras en materia de seguridad.

Se estima que costará más de 800 millones de euros (933 millones de dólares) modernizar las infraestructuras, aliviar el caos generado por las aglomeraciones y dotar a la famosa Mona Lisa de una galería dedicada para el año 2031.