París, 19 de octubre de 2025.
Son las primeras horas de un domingo por la mañana cuando cuatro figuras encapuchadas, vestidas con chalecos amarillos de obreros, suben a un montacargas apoyado en la fachada del museo más famoso del mundo. En siete minutos cronometrados, fuerzan una ventana de la Galería de Apolo (Galerie d’Apollon) con una sierra circular, rompen las vitrinas de cristal y se apoderan de ocho joyas de la Corona francesa, entre ellas el collar y el broche de Napoleón y la tiara de Josefina Bonaparte.
Valor del botín: 88 millones de euros. Después desaparecen en el tráfico parisino a bordo de dos scooters.
Lo que podía parecer el golpe perfecto organizado por criminales refinados se reveló en cambio como un robo llevado a cabo por ladronzuelos de barrio, ya conocidos por la policía por hurtos menores.
¿Cómo pudieron penetrar en la fortaleza del Louvre con tanta facilidad? La respuesta no está en sus habilidades, sino en las clamorosas fallas de seguridad de una institución que custodia tesoros inestimables.
El secreto más embarazoso: la contraseña era «Louvre»
Cuando la investigación judicial empezó a profundizar en las dinámicas del robo, surgió un detalle que dejó sin palabras a investigadores, expertos en seguridad y la opinión pública francesa.
Según documentos reservados obtenidos por el diario Libération, para acceder al servidor de videovigilancia del Louvre bastaba con teclear una contraseña tan banal como embarazosa: «Louvre». Así es, el nombre del propio museo.
No es todo. Otro sistema de seguridad utilizaba como credencial «Thales«, simplemente el nombre de la empresa proveedora del software. Como si un ciudadano protegiera su banca online con la contraseña «123456» o, peor aún, con el nombre del propio banco.
La fiscal jefe de París, Laure Beccuau, ha confirmado que los sospechosos arrestados son «criminales de bajo perfil cuyos retratos no se corresponden con los generalmente asociados a las cúpulas del crimen organizado». En otras palabras: no hacían falta hackers sofisticados u organizaciones internacionales para vulnerar los sistemas del Louvre. Bastaba con la contraseña más obvia del mundo.
Veinte años de alarmas ignoradas
Las vulnerabilidades del Louvre no eran un secreto. Ya en diciembre de 2014, tres expertos de la Agencia Nacional para la Seguridad de los Sistemas Informáticos (ANSSI) habían realizado una auditoría interna solicitada por el museo.
Los expertos, analizando el llamado «réseau de sûreté» —la red que conecta los dispositivos más sensibles: cámaras, alarmas, control de accesos— constataron que las aplicaciones y sistemas instalados presentaban numerosas vulnerabilidades. Durante la prueba, lograron acceder al sistema partiendo de un simple ordenador de la red interna y, desde ahí, a los servidores de videovigilancia y a las bases de datos de las tarjetas de acceso.
La ANSSI al término de la auditoría recomendaba introducir contraseñas complejas, migrar los sistemas obsoletos y corregir las vulnerabilidades conocidas.
Una segunda auditoría, realizada de 2015 a 2017 por el INHESJ (Instituto Nacional de Estudios Avanzados sobre Seguridad y Justicia), confirmaba y amplificaba las criticidades ya conocidas. El documento denunciaba «la
persistencia de las mismas vulnerabilidades: sistemas informáticos obsoletos, contraseñas predecibles y carencias en los procedimientos de actualización». Y advertía: «El museo ya no puede ignorar que puede ser víctima de un ataque cuyas consecuencias serían dramáticas».
Sin embargo, a pesar de estas advertencias oficiales, nada cambió.
Informática y videovigilancia de museo
Las investigaciones han revelado además que varios servidores de seguridad funcionaban aún con Windows 2000 y Windows Server 2003, sistemas operativos que Microsoft dejó de soportar respectivamente en 2010 y 2015. Algunas estaciones utilizaban incluso
Ocho programas críticos para la seguridad del museo resultaban «ya no actualizables», incluido Sathi, el software de supervisión de videovigilancia adquirido en 2003 a Thales. Sistemas de más de veinte años, prácticamente fósiles en la era digital.
Esto se traduce en una falta de actualizaciones de seguridad, ninguna corrección para las vulnerabilidades, antivirus obsoletos e ineficaces. Un poco como dejar las llaves de casa bajo el felpudo.
Por no hablar del sistema de videovigilancia que resultó ser un verdadero patchwork tecnológico estratificado en el tiempo. Como explicó el jefe de policía de París, Patrice Faure, durante una audiencia en el Senado, amplias partes del sistema siguen siendo analógicas y producen imágenes de baja calidad, difíciles de analizar y lentas de transmitir en tiempo real.
Además, según un informe del Tribunal de Cuentas francés, muchas salas del museo carecían completamente de cámaras. Esto explica por qué los ladrones pudieron actuar casi sin ser molestados. Tanto que la primera alerta a la policía ni siquiera llegó de los sistemas de seguridad internos, sino de un ciclista que se encontraba en la calle y sospechó al ver a una persona con un chaleco reflectante en un montacargas pegado a la fachada del museo un domingo por la mañana.
Una gobernanza inadecuada y una cultura de seguridad inexistente
La ministra de Cultura, Rachida Dati, tuvo que admitir públicamente la evidencia: «Una subestimación crónica y estructural del riesgo de robos». Las conclusiones de la investigación preliminar de la inspección del ministerio de Cultura son claras: «Fallas en la seguridad» y una «subestimación de veinte años de los riesgos estructurales relacionados con el robo de obras de arte».
El problema no es solo técnico, sino cultural y organizativo. El Louvre ha tratado hasta ahora la seguridad informática como un gasto accesorio, un cumplimiento burocrático, más que como una inversión estratégica para proteger un patrimonio inestimable. El mantenimiento ha sido fragmentario, las actualizaciones incompletas, los protocolos obsoletos. Una gobernanza ineficiente donde la responsabilidad se diluye entre personal interno y proveedores externos, sin una cadena de mando clara.
Un problema que va más allá del Louvre
Pero no se trata de un caso único, porque el problema afecta a muchas instituciones culturales y públicas en todo el mundo. Museos, bibliotecas, archivos: demasiado a menudo los sistemas de seguridad física y digital se basan en tecnologías obsoletas, no actualizadas, gestionadas con superficialidad.
Según el informe NordPass 2024, la contraseña más usada en Italia sigue siendo «123456» para acceder a datos sensibles de clientes, empleados o ciudadanos. Cambian los contextos y las instituciones, pero la superficialidad sigue siendo la misma. Como ha evidenciado un estudio reciente, solo el 49% de las empresas que han sufrido un ataque informático decide después invertir en ciberseguridad.
Un dato que retrata una mentalidad aún demasiado reactiva en lugar de preventiva y una formación en seguridad informática aún dramáticamente deficiente.
Demasiado a menudo se piensa que basta con instalar un antivirus o un firewall para estar protegidos, ignorando que la seguridad es un proceso continuo de conocimiento que requiere competencias, actualizaciones constantes, procedimientos rigurosos y, sobre todo, una concienciación compartida en todos los niveles de la organización y que se construye en el tiempo a través de itinerarios formativos a la altura del desafío que este período histórico nos plantea.
