El 19 de octubre de 2025, el Museo del Louvre sufrió un robo que dejó atónita a Francia y también sacudió al sector de la ciberseguridad. Cuatro individuos, disfrazados de operarios y equipados con chalecos reflectantes, utilizaron una plataforma elevadora para acceder a una ventana lateral del museo. En apenas unos minutos, lograron sustraer varias joyas de la Corona francesa valoradas en más de 80 millones de libras. La operación fue tan limpia y rápida que, en un primer momento, muchos pensaron que se trataba de una escena de película.
Pero la verdadera película comenzó después. Lo que parecía un asalto audaz, casi cinematográfico, se convirtió en el síntoma más visible de una cadena de errores humanos, técnicos y organizativos que llevaban años gestándose dentro de la institución. La sorpresa inicial se tornó en escándalo cuando se supo que los sistemas de videovigilancia del Louvre estaban protegidos con una simple contraseña: “Louvre”. Y no era una excepción. El software de ciberseguridad, proporcionado por la empresa Thales, también estaba protegido por una clave igual de elemental: “Thales”.
Estas revelaciones, filtradas por medios locales a partir de documentos internos del museo y de una auditoría de la Agencia Nacional Francesa de Ciberseguridad (ANSSI), confirmaron que el problema no era un ataque sofisticado, sino una grave falta de medidas mínimas de ciberseguridad. Contraseñas predecibles, sistemas operativos desactualizados, ausencia de autenticación multifactor y una red mal segmentada convirtieron a uno de los museos más emblemáticos del mundo en un blanco vulnerable.
El golpe no solo fue económico o simbólico. Fue reputacional. Dejó al desnudo que incluso instituciones con alta visibilidad y recursos pueden cometer errores básicos de seguridad digital que comprometan su misión y su legado.
Auditorías ignoradas y una transformación demasiado lenta
Los fallos que facilitaron el robo de octubre no eran desconocidos. De hecho, ya en 2014 una auditoría oficial de la ANSSI alertaba sobre la antigüedad de los sistemas del Louvre y las credenciales débiles utilizadas por su personal. Las recomendaciones fueron claras: actualizar los sistemas operativos, reforzar el control de accesos, renovar los contratos de mantenimiento de software y aplicar contraseñas robustas. Sin embargo, los cambios no llegaron.
Una nueva auditoría en 2017 volvió a detectar los mismos fallos: ordenadores con Windows XP sin soporte, antivirus inactivos, ausencia de políticas de control de accesos y empleados sin formación específica en seguridad digital. Y aunque se prometieron inversiones, el foco del museo en ese momento estaba centrado en atraer visitantes, relanzar su imagen tras la pandemia y renovar su catálogo artístico. La seguridad digital seguía sin ser prioridad.
El 39 % de las salas del museo no disponían de cámaras en funcionamiento en 2024
El informe más reciente de la Oficina Nacional de Auditoría de Francia ha sido demoledor. Señala que el 39 % de las salas del museo no disponían de cámaras en funcionamiento en 2024, y que las mejoras recomendadas hace más de una década no estarán completamente implementadas hasta 2032. Esto implica que el Louvre seguirá siendo, al menos durante los próximos siete años, una infraestructura parcialmente vulnerable.
Este desfase entre diagnóstico y acción es, lamentablemente, una constante en muchas instituciones públicas. El caso del Louvre ilustra cómo las decisiones de inversión a menudo se inclinan por lo visible y lo inmediato —como exposiciones temporales, nuevas adquisiciones o remodelaciones arquitectónicas— mientras se pospone lo invisible pero esencial: la infraestructura tecnológica y la ciberseguridad.
En paralelo a las investigaciones policiales, que ya han resultado en la detención de cuatro sospechosos, la ministra de Cultura Rachida Dati ha reconocido las “graves brechas de seguridad” y ha prometido acelerar las reformas. El museo ha comenzado a renovar su red de cámaras, reforzar su software y establecer nuevos protocolos de acceso y vigilancia. Pero la sombra del robo y de la negligencia institucional aún pesa.
