Una información del periódico francés Libération ha desvelado que el Museo del Louvre de París, víctima el mes pasado de un audaz robo perpetrado con un montacargas, lleva más de una década lidiando con software obsoleto, incluido el que controla sus sistemas de videovigilancia.
Recordamos lo ocurrido: el pasado 19 de octubre, los ladrones utilizaron un elevador de mudanzas para acceder por una ventana del segundo piso y robar ocho piezas de joyería. Los sistemas de alarma de la ventana y de la vitrina que contenía las joyas funcionaron correctamente, según el Ministerio de Cultura francés, incluso la policía llegó al lugar en apenas tres minutos. El robo desencadenó una revisión exhaustiva de la seguridad del museo.
Ya la semana pasada, la Inspección General de Asuntos Culturales (IGAC) presentó sus primeras conclusiones, lo que llevó al ministro de Cultura a recomendar nuevas normas de gobernanza y políticas de seguridad, la instalación de cámaras adicionales alrededor del perímetro del edificio y una actualización urgente de todos los protocolos y procedimientos de seguridad antes de fin de año. No obstante, los detalles del informe todavía son confidenciales.
Problemas informáticos que se remontan a más de una década
Sin embargo, según auditorías confidenciales de los sistemas de seguridad a las que ha tenido acceso el periódico Libération, ya en 2014 y 2017 se detectaron numerosos problemas informáticos relacionados con la seguridad.
El dato es esclarecedor: el museo seguía utilizando Windows 2000 en su red de ofimática cuando la Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI) realizó su auditoría de 2014, informó el periódico, a pesar de que Microsoft había dejado de ofrecer actualizaciones de seguridad para esa versión desde julio de 2010. El informe también señalaba la existencia de un servidor de videovigilancia con la contraseña “LOUVRE” y una aplicación de videovigilancia fabricada por Thales con la contraseña “THALES”, según Libération.
Como era de esperar, la ANSSI recomendó utilizar contraseñas más complejas, migrar el software a versiones compatibles y corregir las vulnerabilidades detectadas. Desde Libération confirman que el museo rehusó responder cuando se le preguntó si había seguido estas recomendaciones. Visto lo visto, queda claro que algunas de ellas no se aplicaron.
Fue en 2017 cuando se realizó una segunda auditoría, esta vez a cargo del Instituto Nacional de Estudios Superiores de Seguridad y Justicia (INHESJ) de Francia. Libération cita esta declaración del informe: “Algunas estaciones de trabajo cuentan con sistemas operativos obsoletos (Windows 2000 y Windows XP) que ya no garantizan una seguridad eficaz (sin actualizaciones de antivirus, sin contraseñas ni bloqueo de sesión…)”. Hay que recordar que Microsoft ya había puesto fin al soporte extendido para Windows XP en 2014.
Ocho aplicaciones de seguridad sin actualizar
La cosa no acaba aquí: Libération también examinó licitaciones y otros documentos de contratación pública emitidos por el museo en los años posteriores a las auditorías.
A modo de ejemplo, sobre la seguridad del museo pesaban veinte años de deuda técnica: se habían ido acumulando sistemas de videovigilancia analógica y digital, detección de intrusos y control de accesos, algunos con servidores dedicados o aplicaciones propietarias. Con el tiempo, varios de ellos quedaron obsoletos y requerían actualización o sustitución.
Thales suministró uno de estos sistemas, Sathi, al Louvre en 2003, pero en febrero de 2019 dejó de proporcionarle soporte, según los documentos de contratación pública consultados por el periódico. A mediados de este año, ocho instancias de Sathi figuraban en una lista interna del museo de “software que no se puede actualizar”.
Los problemas con Windows continuaron al menos hasta 2021, cuando otro documento señalaba que Sathi seguía funcionando en un equipo con Microsoft Windows Server 2003, cuyo soporte técnico ampliado había finalizado en 2015.
No hay indicios de que los problemas de software que arrastra el Louvre desde hace tiempo hayan influido en el reciente robo, pero el informe del IGAC de la semana pasada sí pone de relieve una serie de deficiencias de seguridad, entre ellas la insuficiencia de los sistemas de vigilancia y la subestimación de los riesgos de intrusión durante las dos últimas décadas.
Read More from This Article: El Louvre trabajaba con versiones de Windows obsoletas antes del robo
Source: News