En marzo de 2025, fiscales federales vincularon una incautación de criptomonedas con un robo que comenzó con la brecha de LastPass. Las víctimas habían almacenado frases semilla en Notas seguras, los atacantes habían tomado datos cifrados del cofre en 2022, y las contraseñas maestras débiles se descifaron sin conexión más tarde. Lee los informes sobre el caso.
Esa historia no creó la categoría de gestores de contraseñas autoalojados, pero sí empujó a más personas hacia ella.
Este artículo se salta la habitual lista de funciones. Te da la elección para uso individual, equipos pequeños y organizaciones con necesidades de auditoría. También cubre las dos partes que la mayoría de las guías pasan por alto: copias de seguridad y migración.
La respuesta directa
- Usuario solo, familia o homelab: Vaultwarden en un pequeño VPS. Usa los clientes oficiales de Bitwarden, se mantiene ligero y simplifica la configuración.
- Equipo pequeño o flujo de trabajo con credenciales compartidas: Organizaciones Vaultwarden para equipos con mucho uso móvil, o Passbolt si el trabajo con credenciales compartidas es la verdadera razón por la que te auto-alojas.
- Organización con necesidades de auditoría o cumplimiento: El servidor auto-alojado oficial de Bitwarden. Es más pesado, pero tiene la pista de auditoría y el soporte del proveedor que la mayoría de las organizaciones necesitan.
- Sin importar cuál elijas: Una copia de seguridad que nunca has restaurado no es una copia de seguridad. Prueba una restauración completa en una máquina limpia.
Qué significa el auto-alojamiento
El modelo de cifrado no cambia. El cifrado sigue ocurriendo en el cliente. El servidor almacena texto cifrado que no puede leer. La diferencia está en quién ejecuta el servidor. Con Bitwarden en la nube, lo hace Bitwarden. Con Vaultwarden o Bitwarden auto-alojado, lo haces tú.
Esto no es lo mismo que un gestor de secretos como HashiCorp Vault, Doppler o AWS Secrets Manager. Esas herramientas sirven a las aplicaciones. Los gestores de contraseñas sirven a las personas.
Lo que está en el alcance aquí: Vaultwarden, Bitwarden auto-alojado, Passbolt CE, Psono, y KeePassXC con Syncthing como la opción sin servidor.
Las cinco herramientas de un vistazo
| Herramienta | Pila | Huella típica | Estado de auditoría | Ideal para |
|---|---|---|---|---|
| Vaultwarden | Rust, contenedor Docker único | ~50 MB en reposo | Sin auditoría formal de terceros | Individuos, familias, pequeños equipos |
| Bitwarden autoalojado | .NET, stack multi-contenedor | ~2 GB en reposo | Auditorías de terceros publicadas | Organizaciones que necesitan historial de auditoría |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB en uso | Auditado por terceros | Compartición de credenciales orientada al equipo |
| Psono | Python / PostgreSQL, multi-contenedor | ~512 MB+ | Historial de auditoría parcial | Equipos que quieren un modelo de uso compartido empresarial |
| KeePassXC + Syncthing | BD local + sincronización entre pares | Sin servidor | Reseñas independientes publicadas | Usuarios individuales que no quieren ningún servidor |
Vaultwarden
Vaultwarden es una reescritura en Rust del servidor Bitwarden. Usa los clientes oficiales de Bitwarden, por lo que la experiencia diaria se siente igual que con Bitwarden en la nube. Se ejecuta en un solo contenedor Docker y mantiene un uso de recursos reducido.
El compromiso es sencillo. Vaultwarden no cuenta con una auditoría de seguridad formal de terceros. Eso no lo hace malo. Solo significa que el modelo de confianza es diferente.
Para usuarios individuales, parejas y familias, ese compromiso suele ser aceptable. Para equipos que dependen mucho del móvil, sigue siendo una opción sólida si principalmente utilizan bóvedas personales con algunas colecciones compartidas.
Un pequeño VPS es suficiente para la mayoría de las configuraciones de Vaultwarden. Alrededor de 1 GB es el punto ideal para un cofre personal. Para un hogar pequeño o un equipo con algo de actividad extra, 2 GB ofrece más margen.
Mantenlo actualizado. Los cambios en los clientes Bitwarden pueden romper versiones antiguas de Vaultwarden por un corto tiempo, así que no dejes que el servidor quede desactualizado durante meses.
Elige: Vaultwarden para la mayoría de los casos de uso personal.
Bitwarden Autoalojado
Bitwarden autoalojado es el stack completo del proveedor. Es más pesado que Vaultwarden, pero ese es el precio de obtener el modelo de servidor Bitwarden exacto, trabajos de auditoría publicados y un camino de soporte más fácil de defender ante los responsables de adquisiciones o revisores de seguridad.
Bitwarden publica trabajos de evaluación de terceros en todos sus productos.
Esta es la elección correcta para las organizaciones que necesitan responder preguntas con fechas e informes, no con evasivas. También necesita más espacio. Una organización pequeña debería planificar un VPS de 4 GB como punto de partida, con más margen para equipos más grandes o trabajos de copia de seguridad más pesados.
Elección: Bitwarden auto-alojado cuando el historial de auditoría importa más que una pila liviana.
Passbolt CE
Passbolt está diseñado alrededor de los equipos desde el principio. Su modelo de uso compartido es más granular que lo que la mayoría de las configuraciones de gestores de contraseñas personales ofrecen, y eso es precisamente su ventaja. Funciona mejor cuando las credenciales compartidas son el trabajo principal, no una idea de último momento.
La desventaja está en la experiencia móvil. Passbolt todavía es de escritorio primero en la práctica. El modo de acceso offline para emergencias está en el roadmap, pero no es lo mismo que tener una experiencia offline madura hoy.
Passbolt también necesita más recursos que Vaultwarden. Un VPS de 2 GB es el mínimo, y 4 GB es un punto de partida más seguro para una configuración real de equipo.
Elección: Passbolt CE cuando el flujo de trabajo con credenciales compartidas es la razón principal por la que te auto-alojas.
Psono
Psono se encuentra en el medio. Tiene un modelo de uso compartido empresarial, portales separados de administrador y usuario, y una estructura que facilita la gestión del acceso grupal en comparación con un simple cofre personal.
Es menos común que Vaultwarden, Bitwarden o Passbolt, por lo que la comunidad es más pequeña.
Psono tiene sentido para equipos que quieren algo más estructurado que las organizaciones de Vaultwarden, pero no quieren los compromisos móviles que vienen con Passbolt.
Elección: Psono para equipos que quieren un modelo de uso compartido más parecido al empresarial sin saltar directamente a Bitwarden auto-alojado.
KeePassXC + Syncthing
Este es el camino sin servidor. KeePassXC almacena las credenciales en un archivo local cifrado .kdbx archivo. Syncthing copia ese archivo en todos tus dispositivos. Sin servidor. Sin API. Sin Docker. Sin factura mensual.
Los compromisos son reales. No hay un sistema adecuado de uso compartido en equipo. La gestión de conflictos se complica si dos dispositivos escriben al mismo tiempo. No hay bóveda web, así que el acceso desde una máquina prestada queda descartado.
Esta es la respuesta correcta para un usuario único con dos o tres dispositivos que no quiere gestionar infraestructura.
Elige: KeePassXC + Syncthing para quienes no quieren servidor.
Las reglas de copia de seguridad que importan
Un gestor de contraseñas autoalojado es tan bueno como el proceso de restauración que tiene detrás.
El enfoque más seguro es claro:
- mantener tres copias de los datos
- almacenarlos en dos tipos diferentes de medios
- mantener una copia fuera del sitio
Una configuración simple funciona bien. Realiza un volcado nocturno de la base de datos, cópialo en almacenamiento compatible con S3 y mantén una segunda copia en medios extraíbles que esté en otro lugar.
Luego haz lo que la mayoría omite. Restaura una copia de seguridad en una VM vacía e inicia sesión. Si funciona, tienes una copia de seguridad. Si no, tienes un archivo que esperas que funcione.
Migración desde LastPass, 1Password o Bitwarden Cloud
El movimiento más sencillo de esta lista es de Bitwarden cloud a Vaultwarden. Cambia la URL del servidor en el cliente, inicia sesión y sincroniza.
La migración de LastPass a Vaultwarden requiere más pasos. Exporta el cofre de LastPass a CSV, impórtalo a través del cliente de Bitwarden y luego apunta ese mismo cliente a tu servidor auto-alojado.
Tres cosas necesitan atención:
- Los archivos adjuntos se exportan por separado del CSV. Vuelve a subirlos manualmente.
- La estructura de carpetas puede cambiar. Haz una revisión rápida antes de confiar en la nueva estructura.
- Los seeds TOTP necesitan verificación. Inicia sesión en algunas cuentas antes de eliminar el antiguo cofre.
La regla universal es sencilla: no elimines el cofre de origen durante 30 días.
Cuál se adapta a qué lector
Si quieres el camino más sencillo para uso personal, elige Vaultwarden.
Si tu equipo necesita credenciales compartidas y trabaja principalmente desde el escritorio, Passbolt es la opción más clara.
Si el historial de auditoría y el soporte del proveedor son lo más importante, Bitwarden auto-alojado es la opción más segura.
Si no quieres ningún servidor, KeePassXC junto con Syncthing es la salida más limpia.
Conclusión
Elige la configuración que se ajuste a tu caso de uso, despliega la herramienta correspondiente y sigue adelante.
El siguiente paso es la prueba de restauración en frío. Levanta una VM en blanco, restaura tu última copia de seguridad e inicia sesión.
