Incluso el Nacimiento de Venus de Botticelli necesita los antivirus adecuados y personas formadas para protegerlo. La verdad del director de los Uffizi
Florencia, entre finales de enero y el primero de febrero de 2026. Mientras turistas de todo el mundo hacen cola para admirar la Primavera o la Anunciación de Leonardo, algo invisible y peligroso sucede en las entrañas digitales de uno de los museos más famosos de Italia. A través de un software para la gestión de imágenes de baja resolución, accesible desde el sitio web institucional, un grupo de ciberdelincuentes ha entrado vulnerando la red de las Galerías de los Uffizi e infiltrándose en los sistemas administrativos de todo el complejo museístico florentino.
Pero no ha sido un ataque repentino.
El ataque, según algunas reconstrucciones, podría tener raíces aún más lejanas: sus huellas se remontarían al verano de 2025, con una fase preparatoria de meses durante la cual los atacantes se movieron en silencio entre las infraestructuras de los Uffizi, el Palacio Pitti y el Jardín de Boboli. Es la técnica clásica de los profesionales del cibercrimen: entrar despacio, permanecer en la sombra, recopilar todo lo posible y solo al final asestar el golpe.
Las revelaciones del Corriere: el peor escenario
Durante semanas, el asunto había quedado confinado a los entornos de investigación, con el museo restando importancia al hablar de un simple fallo en los sistemas administrativos. Después, a principios de abril, el Corriere della Sera reveló un escenario mucho más inquietante.
Según el diario, el grupo hacker habría vaciado los servidores de todo el complejo museístico: no solo habrían robado el archivo completo del gabinete fotográfico, sino que los delincuentes habrían logrado entrar en los sistemas de la oficina técnica, haciéndose con códigos de acceso, contraseñas, sistemas de alarma, mapas internos, entradas, salidas y rutas de servicio, además de la ubicación de cámaras de vigilancia y sensores.
El panorama que surge es de película de suspense: con esa información, una banda de ladrones podría moverse sin ser molestada entre las obras maestras, sabiendo exactamente por dónde pasar, qué evitar y qué desactivar. Un manual de instrucciones para desvalijar el museo más visitado de Italia, entregado en bandeja de plata digital.
La Fiscalía y la Policía Postal investigan ahora lo sucedido, apoyadas por expertos de la Agencia para la Ciberseguridad Nacional, mientras que los contactos con los extorsionadores parecen haberse interrumpido hace algunas semanas, dejando al museo en un clima de espera y máxima alerta.
El rescate en el teléfono del director
Una petición de 300.000 euros en criptomonedas, a pagar en un plazo de 72 horas, llegó directamente al teléfono personal del director Simone Verde a principios de febrero.
Ni un correo institucional, ni una comunicación formal: un mensaje privado e intimidatorio, entregado en el dispositivo personal de quien dirige el museo. Un gesto que dice mucho sobre la sofisticación de los agresores, la profundidad de su infiltración y su voluntad de ejercer una presión psicológica directa.
Desde el punto de vista técnico, algunas fuentes especializadas han vinculado el ataque al ransomware de última generación BabLock, también conocido como Rorschach, caracterizado por una alta velocidad de cifrado y técnicas de evasión avanzadas, capaces de eludir muchos sistemas de detección tradicionales. El modo operativo corresponde al de un ataque APT —Advanced Persistent Threat—, una intrusión informática muy sofisticada: los hackers entran por un punto débil secundario, permanecen ocultos en la red durante mucho tiempo sin hacerse notar, se desplazan de un sistema a otro y recopilan datos poco a poco. Es un ataque lento y silencioso, donde gana quien tiene más paciencia.
La respuesta del museo: «Ni robo, ni daños»
La dirección de los Uffizi no acepta estas afirmaciones y responde punto por punto. En una nota larga y contundente, las Galerías desmienten la alarma del Corriere: no hubo robo de información sensible, el archivo fotográfico se recuperó con una copia de seguridad y las labores de seguridad estaban programadas mucho antes del ataque.
Sobre el capítulo más delicado —los mapas y los códigos de seguridad—, la réplica del museo es tajante: no se habría sustraído ninguna contraseña de los sistemas de seguridad porque esos sistemas funcionan en un circuito cerrado interno; no existirían pruebas de la posesión de mapas de seguridad; y la ubicación de las cámaras es, por definición, visible para cualquier visitante que levante la vista.
Incluso sobre el presunto robo de las copias de seguridad fotográficas, los Uffizi precisan que el servidor no ha sido robado y que la copia de seguridad realizada es completa, con todo el archivo plenamente en manos del museo.
Lo cierto es que ahora el museo ha trasladado apresuradamente el Tesoro de los Grandes Duques de Médici a la cámara acorazada florentina del Banco de Italia, ha tapiado algunas puertas y ha pedido al personal la máxima confidencialidad. Parece una situación de trinchera, aunque el museo justifica estas acciones con el inicio de obras ya previstas desde hace tiempo y trabajos en curso de diversa índole.
Más allá de las disputas entre el Corriere della Sera y el museo, la verdad, como suele ocurrir, podría estar en un punto intermedio. El punto decisivo reside en la distinción entre un ataque a los sistemas de trabajo y una vulneración confirmada del perímetro físico de seguridad: dos planos distintos. En el primero se miden la continuidad operativa, las copias de seguridad, los archivos, el correo electrónico y la capacidad de respuesta. En el segundo se hablaría de alarmas, sensores, rutas de servicio y protección inmediata de las obras.
Una emergencia nacional
El asunto ha llegado al Parlamento: el PD en la Cámara ha presentado una interpelación para pedir al ministro de Cultura, Alessandro Giuli, que aclare con urgencia cuánto gasta el MIC en ciberseguridad para proteger las instituciones culturales.
Porque hoy en día, un ataque informático a los sistemas culturales puede traducirse en una forma de erosión de la identidad nacional, algo tanto más grave en una época en la que el conocimiento y el disfrute del patrimonio pasan cada vez más por lo digital.
El factor humano: la vulnerabilidad que ningún cortafuegos puede corregir
Como decíamos, la puerta de entrada de los ciberdelincuentes fue un viejo software utilizado cada día por cientos de miles de personas en todo el mundo para descargar las fotos de las obras maestras del enorme patrimonio artístico:
“Era uno de los pocos que no había sido actualizado por nuestro responsable informático”, dicen dentro del museo, según informa el medio “Quotidiano Arte”.
Un punto que pone el foco en un concepto ya consolidado: la seguridad informática es, ante todo, una cuestión de cultura y responsabilidad compartida, y a menudo la tecnología por sí sola no basta.
Formar al personal se convierte, por tanto, en un deber institucional, tanto como restaurar un fresco o catalogar una colección. Los delincuentes, de hecho, atacan casi siempre por oportunidad: allí donde encuentran sistemas expuestos, programas obsoletos, identidades débiles y una monitorización insuficiente. Y a menudo esas debilidades no están en los servidores, sino en las personas que los usan: un empleado que hace clic en un correo sospechoso, una contraseña compartida o una actualización de software ignorada durante demasiado tiempo.
En un contexto de instituciones cada vez más digitalizadas, las tecnologías obsoletas, las infraestructuras inadecuadas y los presupuestos limitados impiden a muchas entidades culturales implementar estrategias estructuradas de ciberseguridad.
Pero la formación del personal es la primera e irrenunciable línea de defensa: saber reconocer un intento de phishing, entender por qué deben instalarse las actualizaciones de software y comprender el valor de la información que se maneja cada día. Ninguna inversión tecnológica, por millonaria que sea, puede compensar la falta de una cultura de la seguridad difundida en todos los niveles de la organización.
