El pasado 19 de octubre, saltaba la noticia en España: una banda de encapuchados se hacía con una colección imperial en el Museo del Louvre en apenas cuatro minutos, constituyéndose como uno de los robos más impresionantes de la historia de Francia.
Un robo que se perpetró en un museo que sufría de graves carencias de ciberseguridad, y que se señalaron años atrás por organismos tan importantes como la Agencia Nacional de Seguridad de la Información (ANSSI) de Francia.
El pasado 19 de octubre, saltaba la noticia en España: una banda de encapuchados se hacía con una colección imperial en el Museo del Louvre en apenas cuatro minutos, constituyéndose como uno de los robos más impresionantes de la historia de Francia.
Un robo que se perpetró en un museo que sufría de graves carencias de ciberseguridad, y que se señalaron años atrás por organismos tan importantes como la Agencia Nacional de Seguridad de la Información (ANSSI) de Francia.
El medio Libération de la mano de CheckNews ha podido detallar una serie de errores de seguridad garrafales que sufría el museo. Uno de ellos, por ejemplo, implicaba el uso del mismo nombre del Louvre como contraseña para servicios críticos.
«LOUVRE», la contraseña del Louvre.
En una serie de documentos oficiales publicados por el portal, podemos leer no solo cómo se gestaron estos fallos informáticos, sino la magnitud de los mismos, que estuvieron presentes durante al menos una década en el museo.
CheckNews cita una auditoría de sistemas informáticos realizadas por agentes y expertos de la ANSSI, que buscaban probar la red de seguridad de la institución. Hablamos de una auditoría realizada a finales de 2014.
Tras la misma, se creó un demoledor documento de 26 páginas en las que se hablaba de las «numerosas vulnerabilidades» que presentaban tanto las apps como las redes de seguridad del museo.
Los expertos de la ANSSI descubrieron estas vulnerabilidades, y las aprovecharon para infiltrarse en las redes del museo desde varios puntos concretos, incluyendo estaciones de trabajo ubicados en el Louvre.
Con esta premisa, la ANSSI estableció que desde varios puntos de acceso, era posible desde «comprometer la red de seguridad» hasta «modificar los derechos de acceso otorgados a una credencial al comprometer la base de datos utilizada por el sistema de control de acceso».
También era posible dañar el sistema de videovigilancia con tan solo comprometer unos servidores internos que la misma ANSSI calificaba como obsoletos. El organismo sentenció que todos estos fallos serían fácilmente explotables por atacantes externos al museo.
La clave de las intromisiones de la ANSSI en estos sistemas está en las contraseñas, cada vez menos presentes en el panorama tecnológico con el auge de las llamadas llaves de acceso y tan criticadas por firmas como Microsoft o Google.
Básicamente, varias de las contraseñas críticas de los sistemas de seguridad eran ridículamente inseguras. Por ejemplo, para acceder al servidor que gestaba la videovigilancia, solo había que introducir «LOUVRE». Sí, el nombre del museo era la contraseña.
No solo eso; para acceder a uno de los programas críticos del sistema, la contraseña era THALES. Por si fuera poco, estos entornos estaban aderezados con sistemas y piezas de software ya obsoletos.
¿Por qué THALES? Pues bien, Thales era la desarrolladora del software Sathi, utilizado para la «supervisión de la videovigilancia analógica y el control de accesos» del museo, comprado por la institución artística en el año 2003. Thales ya no desarrolla esta solución.