- El sistema de seguridad del Louvre se apoyaba en Windows Server 2003, estrechamente ligado a Windows XP, sin soporte desde 2015.
- Libération e i3e señalan ocho programas de vigilancia comprados en 2003, sin mantenimiento; uno de Thales operaba sin respaldo de la matriz Sathi.
- Contraseñas débiles como "LOUVRE" y "THALES" habrían facilitado el acceso y la manipulación de la videovigilancia.
- ANSSI advirtió en 2023 la necesidad de migrar sistemas obsoletos; i3e describe un cúmulo de obsolescencia y falta de infraestructura de seguridad.
Una investigación ha puesto el foco en que el Museo del Louvre mantuvo su vigilancia sobre bases heredadas de Windows XP, concretamente con máquinas que funcionaban con Windows Server 2003, una plataforma sin soporte desde hace años. La combinación de software desactualizado, equipos antiguos y políticas débiles habría dejado un terreno propicio para la intrusión en una infraestructura crítica.
Fuentes consultadas por medios franceses, así como el grupo tecnológico i3e, apuntan a que el entramado de seguridad del museo parisino operaba con programas adquiridos en 2003 y sin contratos de mantenimiento, mientras que las contraseñas de acceso eran excesivamente simples. Este contexto se relaciona con el asalto que conmocionó a Francia el 19 de octubre, consumado en cuestión de minutos.
Cómo quedó expuesto el sistema
El corazón del entorno estaba en Windows Server 2003, una edición emparentada con Windows XP cuyo soporte oficial finalizó en 2015, lo que implica ausencia de parches frente a vulnerabilidades conocidas. En escenarios de alta criticidad, esta brecha multiplica la exposición ante ataques con herramientas disponibles hoy.
Además, la operativa descansaba en ocho aplicaciones de vigilancia compradas en 2003, sin mantenimiento activo por parte de sus proveedores. Entre ellas figuraban soluciones de Thales, y documentación de licitación de 2019 recogía que uno de esos programas críticos funcionaba sobre Windows Server 2003 y no contaba con soporte por parte de Sathi, la empresa matriz.
A este panorama se sumaron prácticas inadecuadas: se usaron contraseñas elementales como «LOUVRE» para el servidor de videovigilancia y «THALES» para acceder a software asociado, lo que allanó el camino para modificar credenciales y manipular cámaras en poco tiempo.
Desde i3e se subraya que no se trataba de un fallo puntual, sino de un cúmulo de obsolescencia y ausencia de controles, donde coexistían sistemas antiguos, aplicaciones sin soporte y hardware que ya no cumplía su función en un entorno de seguridad.
Alertas previas e investigaciones en Francia
La Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) ya había señalado en 2023 la urgencia de migrar los sistemas obsoletos del museo, según un informe interno citado por la prensa. Pese a esas recomendaciones, no se acometieron a tiempo los cambios necesarios.
De acuerdo con Libération y con el análisis de i3e, además del uso de Windows Server 2003 —derivado de la base tecnológica de Windows XP—, el museo no se puso en contacto con desarrolladores para actualizar servicios críticos, lo que dejó un vacío operativo y de ciberseguridad.
Implicaciones para Europa y el sector cultural
El caso del Louvre actúa como advertencia para instituciones culturales europeas, incluidas las españolas, donde la protección del patrimonio exige que la ciberseguridad forme parte del perímetro físico. Sistemas sin soporte, contraseñas débiles y ausencia de mantenimiento no son meramente un problema informático: ponen en riesgo colecciones de valor incalculable.
En un contexto de amenazas crecientes y marcos regulatorios más exigentes, la lección es clara: no basta con que los equipos sigan encendiendo. Es necesario garantizar actualizaciones, segmentación de redes y supervisión continua para que la seguridad no dependa de componentes obsoletos.
Qué medidas se están poniendo sobre la mesa
Expertos consultados insisten en reforzar contratos de mantenimiento sólidos y auditorías periódicas, monitorización de vulnerabilidades y un plan de renovación tecnológica que sustituya progresivamente sistemas antiguos por versiones soportadas.
También recomiendan políticas de contraseñas robustas y autenticación multifactor en accesos críticos, inventario y control de activos, así como formación continua del personal encargado de la vigilancia para detectar y corregir fallos antes de que se exploten.
La idea que más se repite entre los especialistas es que no falló una pieza, falló el conjunto: software de 2003 sin soporte, un sistema operativo ligado a Windows XP fuera de mantenimiento y prácticas operativas laxas. A partir de ahora, los museos europeos con infraestructuras similares tienen una hoja de ruta clara para elevar su resiliencia sin demoras.
