El Louvre se lleva el "premio" a la peor contraseña de la década: 88 millones de euros en joyas de la Corona francesa protegidos por solo seis letras.

A principios de octubre de 2025, en el Museo del Louvre de París se produjo un audaz robo de las joyas de la corona francesa, que dejó al descubierto errores generalizados en la seguridad física y cibernética del museo. Todo parecía una operación perfectamente planificada: cuatro delincuentes disfrazados de obreros entraron en la Galería de Apolo y en cuestión de minutos se llevaron joyas por un valor aproximado de €88 millones.

La vulnerabilidad clave, como se ha sabido ahora, fue la contraseña absurdo de las cámaras «LOUVRE», documentada en un informe de la agencia nacional de sistemas informáticos estatales. Esa contraseña abrió efectivamente el acceso a los servidores que controlaban los sistemas de seguridad. Más tarde, la auditoría mostró que esos mismos sistemas funcionaban con Windows Server 2003, un software que lleva años sin soporte del fabricante.

Otro de los factores graves fue la ausencia de vigilancia por vídeo en zonas críticas del museo. Según los investigadores, más de un tercio de las salas del ala desde donde se sacaron las joyas no estaban cubiertas por cámaras. El acceso al balcón, utilizado por los delincuentes, estaba prácticamente sin control, y el uso de equipos de reparación y de escalera permitió entrar y salir con rapidez. El ángulo de la intrusión y el momento del saqueo se eligieron teniendo en cuenta la debilidad de la respuesta de la seguridad.

También hubo un problema serio relacionado con la seguridad física: la vigilancia se debilitó tanto por recortes internos de personal como por detectores de movimiento y sistemas de alarma externos obsoletos, que no estaban integrados en un sistema de respuesta preventiva. Los informes de la policía subrayaban que el equipo de vigilancia y seguridad no se había modernizado durante años, aunque se habían recomendado actualizaciones ya en 2014-2015.

Además, el sistema de asignación de recursos de seguridad no estaba adecuadamente organizado. Por ejemplo, se afirma que la autorización para la instalación de cámaras exteriores había caducado antes del robo, y varios dispositivos dependían de cámaras analógicas obsoletas de baja resolución o directamente no cubrían la zona exterior de la fachada.

También cabe señalar la actitud negligente respecto a la gestión de la seguridad de la red: los expertos pudieron acceder a los servidores de control gracias a contraseñas elementales o por defecto, tras lo cual pudieron modificar los permisos de los pases y gestionar las zonas de seguridad.

Como ha mostrado este suceso, el progreso tecnológico y una infraestructura protegida no eran una prioridad para la dirección del museo, aunque podrían haber reducido significativamente el riesgo. Fue la combinación de equipos obsoletos, contraseñas absurdamente débiles, mala vigilancia por vídeo, recorte de personal de seguridad y falta de segmentación adecuada de la red lo que creó las condiciones «ideales» para una operación exitosa. Los autores del robo, según los investigadores, actuaron con la plena certeza de que el sistema no funcionaría y de que la reacción policial sería tardía.

El resultado fue algo más que un incidente sonado: se convirtió en una señal de alarma para museos e instituciones culturales de todo el mundo: los procesos internos y las medidas de seguridad físicas y digitales deben considerarse como un sistema único, no como un conjunto de componentes dispares.

Ahora las instituciones europeas se ven obligadas a revisar los modelos de protección obsoletos y las metodologías de respuesta. En el caso del Louvre, la falla afectó a todos los niveles de protección: contraseñas, cámaras, accesos y respuesta. Tras el incidente, el museo prometió acelerar la ejecución de su programa de modernización, pero sigue sin saberse cuántos otros lugares permanecen sin atención.