El robo que sacudió al museo más famoso del mundo

En octubre de 2025, el mundo quedó sorprendido: un grupo de ladrones logró sustraer joyas de la Corona francesa del Museo del Louvre, en París.
Aunque al principio las autoridades hablaron de “una falla humana”, las investigaciones posteriores demostraron que la verdadera puerta de entrada fue digital.

Dos informes —uno de Red Hot Cyber y otro del diario Clarín— revelaron que el museo más visitado del planeta operaba con contraseñas triviales, sistemas obsoletos como Windows XP y Windows 2000, y software sin mantenimiento. En otras palabras: un castillo lleno de tesoros, pero con las cerraduras de los años 2000.

Contraseñas débiles y sistemas prehistóricos

Auditores de la Agencia Nacional de Ciberseguridad de Francia (ANSSI) descubrieron que muchos equipos usaban contraseñas como “LOUVRE” o “THALES”, esta última en referencia al proveedor del sistema de videovigilancia.
Con esa simple vulnerabilidad, lograron acceso a los servidores donde se almacenaban las cámaras, planos y registros del museo.

Por si fuera poco, los sistemas operativos eran auténticas reliquias digitales: Windows 2000, Windows XP y Windows Server 2003, todos sin soporte técnico ni parches de seguridad desde hace más de una década.

El sistema central de seguridad, llamado Sathi, había sido desarrollado en 2003 y ya no contaba con contrato de mantenimiento ni actualizaciones.

Cámaras fuera de servicio y advertencias ignoradas

El informe también reveló que gran parte de las cámaras exteriores del museo no funcionaban o tenían contratos vencidos. En un tramo de 1,3 kilómetros de fachada, solo cinco cámaras estaban operativas.
Lo más grave: la agencia ANSSI ya había advertido sobre estos fallos en 2014 y 2017, pero el Louvre no aplicó las recomendaciones.

El resultado fue un entorno con deuda técnica acumulada y sin monitoreo eficaz, lo que permitió que un grupo bien informado aprovechara la combinación de vulnerabilidades físicas y digitales.

Ciberseguridad y seguridad física: un mismo ecosistema

Este caso demuestra que no hay seguridad física sin seguridad digital.
De poco sirve tener puertas blindadas si el sistema de acceso depende de un servidor sin actualizaciones o una contraseña predecible.

La interconexión entre cámaras, alarmas, sensores y servidores convierte a cualquier red corporativa o institucional en un posible punto de entrada.
Una sola credencial débil puede comprometer un edificio entero, una planta industrial o, como vimos aquí, el museo más importante del planeta.

Lecciones para empresas y organizaciones

El caso del Louvre no es un problema exclusivo del sector cultural. Miles de empresas en todo el mundo operan con sistemas obsoletos, contraseñas débiles o sin políticas claras de mantenimiento tecnológico.
Aquí van algunas lecciones clave:

1. Actualiza los sistemas críticos. No esperes a que “algo falle”. Un sistema sin soporte es una puerta abierta.
2. Implementa contraseñas seguras y autenticación multifactor. Es la barrera más básica, pero la más olvidada.
3. Monitorea y audita regularmente. Lo que no se mide, no se mejora.
4. Segmenta la red. Evita que un acceso comprometido afecte toda la infraestructura.
5. Capacita al personal. La seguridad digital también depende de las personas.

En resumen

El robo al Louvre fue más que un golpe a la cultura francesa: fue una lección mundial de ciberseguridad.
Demostró que incluso las instituciones más prestigiosas pueden ser víctimas si descuidan sus sistemas informáticos.

En IRIARTEC creemos que la ciberhigiene tecnológica debe ser parte de cualquier estrategia de gestión moderna. Desde una pequeña empresa hasta un museo nacional, la seguridad digital es hoy un pilar de confianza y continuidad operativa.