Una «acumulación de obsolescencia» provocó el robo del Louvre: Windows XP y una contraseña impensable

El Museo del Louvre operaba su entramado de vigilancia con Windows Server 2003 y programas comprados en 2003 sin contrato de mantenimiento ni soporte activo, así lo explica una investigación del grupo tecnológico i3e tras el robo del 19 de octubre que sacudió al museo parisino.

A ello se sumaba una contraseña básica —el propio nombre de la entidad— y la ejecución de aplicaciones críticas en máquinas antiguas, un cóctel que la compañía define como «acumulación de obsolescencia» y que habría dejado expuesta una infraestructura esencial.

El fallo que abrió la puerta

El sistema de seguridad del Louvre se apoyaba en Windows Server 2003, una edición empresarial emparentada con Windows XP que dejó de recibir parches de seguridad en 2015, lo que multiplica la superficie de ataque frente a amenazas conocidas y explotables con herramientas actuales. La investigación mencionada por i3e añade que la contraseña del museo era el propio nombre de la institución y que no existía una infraestructura de seguridad adecuada, elementos que habrían sido decisivos en el éxito del asalto del 19 de octubre.

Además del sistema operativo, el museo mantenía en producción ocho aplicaciones de vigilancia adquiridas en 2003, entre ellas soluciones de Thales, que no contaban con soporte ni mantenimiento por parte de los proveedores consultados. Documentación de licitación de 2019 señalaba que uno de esos programas críticos corría en una máquina con Windows Server 2003 y carecía de respaldo de la matriz, Sathi, agravando el riesgo operativo y de ciberseguridad.

El objetivo de usar programas para la vigilancia pasa por el hecho de que el propio 'vigilante' esté al tanto de lo que sucedeSergio GarcíaGerente de i3e

Para i3e, el problema no fue una pieza aislada, sino el colapso de todo el conjunto: sistemas operativos antiguos, aplicaciones sin soporte y hardware primigenio que ya no cumplía su cometido en un entorno de vigilancia crítica. «Realmente ya no servía para su cometido», explica su gerente, Sergio García, al describir la suma de contraseñas débiles, software obsoleto y ausencia de capas defensivas modernas como un escenario de alto riesgo evitable.

«El objetivo de usar programas para la vigilancia pasa por el hecho de que el propio 'vigilante' esté al tanto de lo que sucede. En el caso del museo, no sólo era la contraseña lo que peligraba. Era, también, el uso de software obsoleto en sistemas operativos antiguos que se ejecutaban en máquinas primigenias», afirma el gerente de i3e.

La compañía i3e subraya que mantener actualizadas las infraestructuras críticas es una obligación ineludible en instituciones culturales que custodian patrimonio de valor incalculable, donde la ciberseguridad es parte del perímetro físico. Se propone reforzar contratos de mantenimiento, auditorías periódicas, monitoreo de vulnerabilidades y sustitución planificada de equipos y sistemas para blindar operaciones y reducir la exposición a ataques conocidos.