Computadoras viejas y contraseñas obvias, un agujero de seguridad para el Museo del Louvre

Por
SISTEMA DE NOTICIAS +R
-
0
4

El robo en el Museo del Louvre de París el pasado 19 de octubre ha acabado revelando las malas prácticas en materia de ciberseguridad que durante años ha dejado la seguridad de la pinacoteca en manos de programas obsoletos y sistemas protegidos por contraseñas débiles.

La sustracción de varias joyas de la etapa imperial de Napoleón y su mujer, Josefina, con el museo abierto y con visitantes en su interior, planteó dudas sobre la seguridad de un símbolo mundial de la cultura francesa como es el Louvre.

Las primeras conclusiones de una investigación administrativa encomendada a la Inspección General de Asuntos Culturales (IGAC) destaca una serie de fallos, pese a contar con procedimientos y protocolos y alarmas que funcionan correctamente.

Así, se indica que durante 20 años se ha subestimado el riesgo estructural relacionado con el robo de obra de arte, y que los equipos de seguridad, especialmente los dedicados a la vigilancia externa, son inadecuados.

Las joyas imperiales robadas del Museo del Louvre

El precedente de 2014 y 2017

Aunque no se sabe el papel que han tenido los sistemas informáticos en el robo de octubre, las faltas en esta área han sido muchas en los últimos años. Según ha compartido el medio Libération a través su servicio de verificación CheckNews, la situación ya era mala en 2014, cuando la Agencia de Ciberseguridad Francesa (ANSSI) realizó una auditoría a cuyos documentos ha tenido acceso el medio citado.

En ella, se recoge que el sistema operativo en uso era Windows 2000, que seguía presente en una segunda auditoría que concluyó en 2017, cuando también se citó el empleo de Windows XP.

Los responsables del Louvre han admitido que las cámaras de seguridad no cubrían todo el exterior del edificio

Además, los expertos de la ANSSI pudieron infiltrarse entonces en los sistemas del museo, aprovechando una serie de vulnerabilidades que se encontraban tanto en aplicaciones como en las propias redes del museo.

Con ellas lograron acceso a computadoras de los empleados y a una base de datos con la que se podían modificar los derechos de acceso concedidos a una credencial determinada. Las vulnerabilidades también permitían manipular el sistema de videovigilancia.

En esta situación, las contraseñas, lejos de ayudar, profundizaron la gravedad de los fallos. En su auditoría de 2014, encontraron que la clave de acceso al servidor de la videovigilancia era LOUVRE, y que un programa desarrollado por la empresa Thales, tenía como contraseña THALES.

Desde la ANSSI aconsejaron reforzar las medidas de seguridad y el cambio de las contraseñas, pero documentos posteriores citan la existencia de al menos ocho programas obsoletos que no podían actualizarse y que gestionaban áreas cruciales para la vigilancia.

Artículos relacionadosMás del autor