- Auditorías de la ANSSI destaparon contraseñas triviales como "LOUVRE" en el servidor de videovigilancia y acceso a sistemas críticos.
- Software obsoleto (Windows 2000, XP y Server 2003) y hasta ocho programas sin soporte complicaron la aplicación de parches.
- El Gobierno francés y la dirección del museo impulsan refuerzos físicos y revisión integral; la IGAC y nuevas auditorías amplían el escrutinio.
- No hay pruebas concluyentes que vinculen las brechas con el robo, pero la presión pública acelera la modernización.
La filtración de documentos técnicos y auditorías internas ha puesto bajo los focos las prácticas digitales del mayor museo de Francia, con un detalle que ha encendido todas las alarmas: el uso de «LOUVRE» como contraseña de un servidor de videovigilancia. El episodio, conocido a raíz de investigaciones periodísticas, ha reavivado el debate sobre la ciberseguridad en instituciones culturales europeas.
Tras el robo de octubre, el caso ha tomado dimensión pública en Francia y también en España, donde la noticia tuvo amplio eco en medios generalistas y tecnológicos. Informes obtenidos por Libération y su proyecto CheckNews describen años de debilidades estructurales en contraseñas, software y procedimientos, un cóctel que obligó al museo a acelerar su plan de modernización y al Gobierno a mover ficha.
El gobierno cambia de postura
Las autoridades francesas han pasado de una actitud de prudencia a impulsar refuerzos tangibles y una revisión amplia de protocolos. A raíz de la polémica, Interior y Cultura avalaron barreras físicas en el entorno del museo y una actualización del esquema de vigilancia, con especial atención a CCTV, control de accesos y gestión de credenciales.
En paralelo, una investigación administrativa de la Inspección General de Asuntos Culturales (IGAC) subraya que durante dos décadas se infravaloró el riesgo de sustracción de piezas. Aunque los sistemas y alarmas funcionaban, el informe cuestiona la suficiencia de los equipos de vigilancia externa y la priorización de la ciberseguridad en la toma de decisiones.
Fallas informáticas
Una auditoría de la Agencia Nacional de Seguridad de la Información (ANSSI) de finales de 2014, plasmada en un informe de 26 páginas, relató numerosas vulnerabilidades en aplicaciones y redes internas. Los expertos lograron moverse por distintos puntos del sistema y evidenciaron que se podía modificar derechos de acceso atacando la base de datos del control de accesos, además de manipular la videovigilancia.
Los hallazgos mostraban que, con varios vectores de intrusión, era factible comprometer estaciones de trabajo y servidores internos descritos como anticuados. La ANSSI advirtió que ese escenario haría “fácilmente explotables” los fallos por parte de atacantes externos y reclamó endurecer políticas de acceso, corregir vulnerabilidades y acelerar el ciclo de actualizaciones; además, planteó la necesidad de instalar y configurar cámaras de videovigilancia más modernas para reducir puntos ciegos y manipulación.
Contraseña: "Louvre"
Entre los ejemplos más contundentes figura el acceso al servidor que gestionaba la videovigilancia con la clave «LOUVRE». Este caso, aunque data de 2014, ilustra una cultura de contraseñas excesivamente previsibles en servicios críticos. También se documentó el uso de «THALES» como contraseña de un programa vinculado a la seguridad, práctica hoy considerada de alto riesgo.
El foco en las credenciales no es casual: con el auge de métodos como las llaves de acceso y el endurecimiento de políticas de autenticación en Europa, mantener contraseñas triviales compromete la resiliencia operativa. En este contexto, la dirección del museo asegura estar reforzando su gobierno de contraseñas y el control de privilegios.
Nueva auditoría
Tras la primera revisión, el museo solicitó otra evaluación en 2015 a un organismo especializado en seguridad, cuyo informe concluyó en 2017. A pesar de algunos avances, el documento advertía que no debía ignorarse la amenaza potencial de un ataque con efectos graves. Debido al carácter confidencial de los expedientes, no es posible saber con precisión qué recomendaciones se implementaron.
En 2025, nuevas comprobaciones internas insistieron en la necesidad de modernizar sistemas y procesos. Eso sí, los documentos consultados señalan que no hay pruebas concluyentes que vinculen directamente estas carencias con el robo, aunque el episodio precipitó un escrutinio público sin precedentes y el cierre temporal del museo para revisar protocolos.
Software desactualizado
Las auditorías señalaron sistemas aún operativos en Windows 2000 y Windows XP, además de un servidor con Windows Server 2003 que ejecutaba Sathi, un software adquirido en 2003 para la supervisión analógica de videovigilancia y control de accesos. Con el tiempo, el proveedor dejó de dar soporte, lo que hizo inviables los parches y complicó la migración; por ello es imprescindible reforzar la seguridad de Windows en entornos críticos para reducir la superficie de ataque.
Documentos de 2021 y 2025 identifican hasta ocho programas obsoletos ligados a áreas sensibles como accesos, videovigilancia y servidores. La combinación de contratos vencidos, dependencia de soluciones descontinuadas y equipos heredados configuró un cuello de botella técnico y presupuestario difícil de resolver sin un plan de sustitución integral.
La seguridad en juego
El atraco a plena luz del día, con la sustracción de joyas de la colección imperial en menos de cinco minutos, reavivó la discusión sobre cómo proteger patrimonio y visitantes. Aunque no se ha demostrado relación directa entre las brechas digitales y el robo, las lagunas en la CCTV y la presión social han llevado a priorizar refuerzos de personal, tecnología y procedimientos.
Para alinearse con las buenas prácticas europeas, expertos consultados proponen segmentación de red, autenticación multifactor para administradores, inventario y retirada de software sin soporte, cifrado de bases de datos de control de accesos y supervisión continua mediante un centro de operaciones de seguridad. La configuración segura de routers y dispositivos perimetrales facilita la segmentación y reduce la exposición externa.
El episodio ha dejado una lección clara: la protección de una institución cultural no depende solo de cámaras y alarmas, sino de políticas digitales robustas, mantenimiento activo y decisiones ágiles. Lo conocido sobre el uso de contraseñas triviales y plataformas antiguas ayuda a entender por qué el Louvre acelera su modernización y por qué el Gobierno francés ha endurecido su postura ante la seguridad del patrimonio.
