El robo en el Museo del Louvre de París el pasado 19 de octubre ha acabado revelando malas prácticas en materia de ciberseguridad que durante años dejó la seguridad de la galería de arte en manos de programas y sistemas obsoletos protegidos por contraseñas débiles.
El robo de varias joyas del período imperial de Napoleón y su esposa, Josefina, con el museo abierto y con visitantes en su interior planteó dudas sobre la seguridad de un símbolo mundial de la cultura francesa como es el Louvre.
MIRA: Científicos logran modificar la creación de recuerdos (de ratones)
Las primeras conclusiones de una investigación administrativa encomendada a la Inspección General de Asuntos Culturales (IGAC) ponen de relieve una serie de fallos, a pesar de contar con procedimientos y protocolos y alarmas que funcionan correctamente.
Así, se indica que desde hace 20 años se subestima el riesgo estructural relacionado con el robo de obras de arte, y que los equipos de seguridad, especialmente los dedicados a la vigilancia externa, son inadecuados.
Aunque se desconoce qué papel han jugado los sistemas informáticos en el robo de octubre, en los últimos años se han producido numerosos fallos en este ámbito. Según comparte el medio Libération a través de su servicio de verificación CheckNews, la situación ya era mala en 2014, cuando la Agencia Francesa de Ciberseguridad (ANSSI) llevó a cabo una auditoría a cuyos documentos ha tenido acceso el citado medio.
Afirma que el sistema operativo utilizado era Windows 2000, el cual aún estaba presente en una segunda auditoría que concluyó en 2017, cuando también se citó el uso de Windows XP.
Además, los expertos de ANSSI pudieron infiltrarse en los sistemas del museo aprovechando una serie de vulnerabilidades encontradas tanto en las aplicaciones como en las propias redes del museo.
Con ellos obtuvieron acceso a los ordenadores de los empleados y a una base de datos con la que podían modificar los derechos de acceso otorgados a una credencial concreta. Las vulnerabilidades también permitieron manipular el sistema de videovigilancia.
En esta situación, las contraseñas, lejos de ayudar, profundizaron la gravedad de las fallas. En su auditoría de 2014 descubrieron que la clave de acceso al servidor de videovigilancia era LOUVRE, y que un programa desarrollado por la empresa Thales tenía como contraseña THALES.
La ANSSI aconsejó reforzar las medidas de seguridad y cambiar las contraseñas, pero documentos posteriores citan la existencia de al menos ocho programas obsoletos que no podían actualizarse y que gestionaban áreas cruciales para la vigilancia.
