Los informes posteriores al robo revelan vulnerabilidades de seguridad que hacen que las contraseñas dejadas en post-its de los NPCs de videojuegos parezcan razonables.
El reciente robo del 18 de octubre que vio cómo $102 millones en joyas de la corona fueron sustraídas del Louvre a plena luz del día ha perdido gran parte de su aire de misterio criminal. Los sospechosos dejaron caer una corona completa durante su escape, antes de intentar y fallar en prender fuego a su elevador mecánico como táctica de distracción. Arsène Lupin estaría horrorizado.
¿Cómo exactamente pudo la galería más renombrada de Francia encontrarse saqueada por un grupo de bufones vestidos con chalecos de alta visibilidad? Los reportes del periódico francés Libération indican que el robo es menos una anomalía de lo que podríamos esperar, ya que el Louvre ha sufrido de más de una década de descuidos flagrantes de seguridad y vulnerabilidades informáticas.
Una década de vulnerabilidades documentadas
Como señala la cofundadora de Rogue y ex-bromista de Polygon Cass Marshall en Bluesky, «le debemos una disculpa a muchos diseñadores de videojuegos«. Hemos pasado años burlándonos de la vaciedad de los personajes de juegos que dejan sus códigos de seguridad cruciales y combinaciones de bóvedas a la vista de cualquiera, mientras que el Louvre ha estado usando la contraseña «Louvre» para sus servidores de videovigilancia.
Eso no es una exageración. Los documentos confidenciales revisados por Libération detallan una larga historia de vulnerabilidades de seguridad del Louvre, que se remonta a una auditoría de ciberseguridad de 2014 realizada por la Agencia Francesa de Ciberseguridad (ANSSI) a petición del museo. Los expertos de ANSSI lograron infiltrarse en la red de seguridad del Louvre para manipular la videovigilancia y modificar el acceso de tarjetas.
Contraseñas «triviales» según los expertos
«¿Cómo lograron los expertos infiltrarse en la red? Principalmente debido a la debilidad de ciertas contraseñas que la Agencia Nacional Francesa de Ciberseguridad (ANSSI) describe educadamente como ‘triviales'», escribe Brice Le Borgne de Libération. «Escribe ‘LOUVRE’ para acceder a un servidor que gestiona la videovigilancia del museo, o ‘THALES’ para acceder a uno de los programas de software publicados por… Thales.»
Sistemas obsoletos y recomendaciones ignoradas
El museo solicitó otra auditoría del Instituto Nacional de Francia para Estudios Avanzados en Seguridad y Justicia en 2015. Concluida dos años después, las 40 páginas de recomendaciones de la auditoría describían «deficiencias graves«, flujo de visitantes «mal gestionado», azoteas fácilmente accesibles durante trabajos de construcción, y sistemas de seguridad obsoletos y defectuosos.
Los documentos posteriores indican que, en 2025, el Louvre seguía usando software de seguridad comprado en 2003 que ya no es compatible con su desarrollador, funcionando en hardware que usa Windows Server 2003.
La realidad supera a la ficción
Cuando las salvaguardas para las joyas de la corona de Francia tienen dos décadas de antigüedad, quizás todos podríamos ser un poco más indulgentes con lo absurdo de los minijuegos de hackeo, las notas adhesivas con contraseñas y las tarjetas de acceso extremadamente robables de los videojuegos.
Los atracos, parece, no son realmente tan difíciles. La revelación de que una de las instituciones culturales más importantes del mundo tenía medidas de seguridad tan básicas pone en perspectiva las críticas que hemos hecho durante años a los diseñadores de videojuegos por crear NPCs con práticas de seguridad aparentemente poco realistas.
Esta situación demuestra que la realidad a menudo supera a la ficción cuando se trata de errores de seguridad cibernética, y que las vulnerabilidades que parecen demasiado obvias para ser creíbles en los videojuegos son, desafortunadamente, más comunes en el mundo real de lo que nos gustaría admitir.
