"Los sistemas de seguridad del museo no fallaron", fueron las palabras de la ministra de cultura francesa, Rachida Dati, tras el robo en el Museo del Louvre el pasado 19 de octubre. Se trata de uno de los más importantes del mundo y que causó revuelo mundial por las razones que permitieron que un grupo de delincuentes se hiciera de varias piezas de la colección de Napoleón y la Emperatriz.
Unos días después de ocurrido el hecho, Dati afirmó que "las alarmas funcionaron", pero ante el Senado reconoció que "sí existían fallas de seguridad". La intención de la funcionaria era "esclarecer por completo las fallas, deficiencias y responsabilidades".
En este contexto, el diario Libération en París reveló hasta donde la seguridad del Louvre había sido indiferente a lo largo de varios años y ponía en peligro al museo, sus obras y esquema de vigilancia.
Las fallas de seguridad en el Museo Louvre
Entre las fallas detectadas se encuentran la palabra "Louvre" como contraseña y un software obsoleto que nunca tuvo mantenimiento. Además, las actualizaciones se volvieron imposibles. El diario reveló que se contabilizaron "diez años de fallos de ciberseguridad en el museo más importante del mundo”.
A mediados de diciembre de 2014, llegaron tres expertos en ciberseguridad. A petición del museo, la Agencia Nacional de Seguridad de la Información (ANSSI) francesa acudió para realizar una auditoría de los sistemas informáticos y, más concretamente, para probar la red de seguridad. En esta red se encuentran conectados los equipos de protección y detección más críticos del museo, como el control de accesos, las alarmas y la videovigilancia. "Un atacante que consiguiera controlarla podría dañar o incluso robar obras de arte", indicó el medio.
"Las aplicaciones y los sistemas desplegados en la red de seguridad presentan numerosas vulnerabilidades", explicó la Agencia. Durante sus pruebas, los expertos lograron infiltrarse en la red de seguridad desde estaciones de trabajo de la red de la oficina. "Desde este punto de acceso, es posible comprometer la red de seguridad" y, en consecuencia, "dañar el sistema de videovigilancia al comprometer servidores obsoletos" y "modificar los derechos de acceso otorgados a una credencial al comprometer la base de datos utilizada por el sistema de control de acceso".
La debilidad de ciertas contraseñas "triviales" fueron aprovechadas por los delincuentes para vulnerar el sistema de seguridad. "Bastaba con escribir 'LOUVRE' para acceder al servidor que gestionaba la videovigilancia del museo, o 'THALES' para acceder a uno de los programas informáticos de Thales", explica el artículo. Por ese entonces, la ANSSI instó al Museo Louvre a que tomará medidas correctivas, como crear contraseñas más complejas, corregir las vulnerabilidades de las aplicaciones y migrar los sistemas obsoletos a versiones mantenidas por el fabricante del software.
Nuevas auditorías y software desactualizados
En octubre de 2015, la dirección del museo había solicitado una nueva auditoría. Agentes del Instituto Nacional de Estudios Avanzados en Seguridad y Justicia visitaron las instalaciones durante un año y medio y se reunieron con el personal del Louvre para evaluar las debilidades del sistema de seguridad.
“El informe de auditoría de seguridad, finalizado en 2017 y clasificado como confidencial, lamenta que se hayan observado deficiencias significativas en el sistema general, algunas similares a las señaladas en 2014. Si bien el museo se ha visto relativamente a salvo hasta ahora, ya no puede ignorar la amenaza potencial de un ataque con consecuencias potencialmente dramáticas, advierte el documento”, consigna el medio.
Nuevamente, la auditoria brindó una serie de recomendaciones que abarcan la gestión de los equipos de seguridad, su nivel de formación a veces insuficiente, la gestión deficiente del flujo de visitantes, la seguridad de las azoteas accesibles durante las obras y los sistemas de seguridad (videovigilancia, control de accesos, etc.).
"Las tecnologías están obsoletas y sufren fallos técnicos con frecuencia" y "los controles y el mantenimiento de los sistemas se realizan solo parcialmente", sostiene la auditoría. Al igual que en 2014, "algunas estaciones de trabajo tienen sistemas operativos obsoletos (Windows 2000 y Windows XP) que ya no garantizan una seguridad efectiva (sin actualizaciones de antivirus, sin contraseñas ni bloqueo de sesión, etc.)"
Los documentos técnicos, publicados por el Louvre entre 2019 y 2025 en respuesta a las licitaciones para el mantenimiento de las redes del museo, revelan la complejidad del tema. "Esta complejidad se evidencia particularmente en la acumulación gradual, durante los últimos veinte años, de sistemas informáticos y software para gestionar la videovigilancia analógica y digital, la detección de intrusiones, el control de accesos y las tarjetas de identificación, así como la detección de obras de arte a corta distancia (CRD). Estos sistemas cuentan con sus propios servidores y, en ocasiones, con su propio software, parte del cual ha quedado obsoleto con el tiempo”, explicó Libération.
Cerrar sesión