Saltar al contenido principal
50% de descuento todos los planes, tiempo limitado. Desde $2.48/mo
21 min left
Seguridad y redes

La mejor pila de privacidad autoalojada de cinco capas

J Por Jonas 21 min de lectura
The best five-layer self-hosted privacy stack: WireGuard, Vaultwarden, SearXNG, Nextcloud with Immich, and Mattermost or Rocket.Chat on a VPS you control.

En marzo de 2025, Krebs on Security informó de que investigadores federales de EE. UU. habían vinculado un robo de criptomonedas de $150 millones directamente con la brecha de LastPass de 2022. El mecanismo era simple: algunos clientes guardaron frases semilla en las Notas Seguras de LastPass, los atacantes obtuvieron copias de seguridad cifradas de las bóvedas, y unas protecciones de bóveda débiles o antiguas permitieron descifrar parte del contenido sin conexión.

La lección no es que LastPass fuera excepcionalmente descuidado. La lección es que cada brecha de la que lees es la data de otra persona siendo monetizada mientras el correo de disculpa reposa en tu bandeja de entrada. El autoalojamiento cambia quién puede hacerte eso a tu data. No cambia el hecho de que alguien siempre puede.

Este artículo es para lectores cuyo modelo de amenazas es la exposición comercial de datos, es decir, la monetización por parte de las grandes tecnológicas y las brechas de proveedores, no la vigilancia de nivel estatal, el periodismo de alto riesgo, el activismo o la divulgación de pruebas legales. La arquitectura de abajo es una pila de cinco capas para ese modelo de amenazas específico.

La versión corta

Esta pila tiene cinco capas. Cada capa elimina una dependencia común de las grandes tecnológicas, pero ninguna de ellas te hace invisible.

  • Red: WireGuard reemplaza una VPN comercial y limita la visibilidad del ISP o de la red local.
  • Identidad: Vaultwarden reemplaza los gestores de contraseñas alojados y reduce la exposición a brechas del lado del proveedor.
  • Búsqueda: SearXNG reduce el perfilado de búsquedas al hacer de proxy de tus búsquedas a través de tu VPS y mantenerlas fuera de tu cuenta de búsqueda con sesión iniciada.
  • Archivos y fotos: Nextcloud AIO e Immich reemplazan Google Drive y Google Photos, recortando el escaneo de contenido en la nube y el cruce de datos entre productos.
  • Comunicaciones de equipo: Mattermost o Rocket.Chat sacan el historial de chat de equipo de Slack, Discord o Teams.
  • Límites principales: Tu proveedor de VPS aún puede ver metadatos de infraestructura, tu ISP aún puede ver que te conectas a tu servidor, y esta pila no está construida para adversarios de nivel estatal.
  • Nota sobre jurisdicción: El hosting en la UE refuerza el argumento de la soberanía de datos, pero no es un escudo mágico.

El autoalojamiento desplaza la confianza, no la elimina

Trust-shift diagram: the top half shows data flowing from a user through their ISP to SaaS vendors like Google, Microsoft, and Meta with profile-aggregation arrows; the bottom half shows data flowing from the user through the ISP to a VPS provider and self-hosted services, with the SaaS vendors removed.

Hay un argumento de larga data en Hacker News, y es correcto a primera vista: "el autoalojamiento en un VPS no resuelve la privacidad, solo confías en un proveedor distinto". Cualquiera que diseñe una arquitectura de privacidad debería abordar esto de frente en lugar de rodearlo. La respuesta honesta es que el desplazamiento de la confianza es asimétrico. No es equivalente.

Empieza por lo que reduce el autoalojamiento. El modelo de negocio de tu proveedor SaaS ya no es minar tu data, porque el proveedor desapareció. La exposición a brechas del lado del proveedor cambia de forma: la bóveda de Vaultwarden está cifrada del lado del cliente, pero los servicios legibles por el servidor como Nextcloud, Mattermost y Rocket.Chat aún necesitan un endurecimiento adecuado, copias de seguridad y control de acceso.

La lección de LastPass no fue que el cifrado de bóvedas nunca existió. Fue que las copias de seguridad cifradas robadas, los metadatos sin cifrar, los ajustes de KDF antiguos y las contraseñas maestras débiles crearon una vía de descifrado sin conexión. El perfilado conductual entre servicios también se encoge, porque hay menos data entre servicios que una sola empresa pueda ensamblar. La dependencia de la suscripción cae.

Ahora, lo que el autoalojamiento no elimina. El hipervisor de tu proveedor de VPS puede, en principio, leer la memoria de tu VM. Tu proveedor de VPS ve tus metadatos a nivel de infraestructura: a qué IP te conectas, cuándo y cuántos datos se mueven.

Tu ISP aún ve que te estás conectando a tu servidor. Las solicitudes legales jurisdiccionales siguen aplicándose a nivel del proveedor de VPS, y una orden judicial sigue siendo una orden judicial. Un VPS, una aplicación, una base de datos o una cuenta de administrador comprometidos aún pueden exponer datos.

Las cuentas de la confianza son lo que importa. Un proveedor de VPS tiene menos incentivo comercial para minar tu data que Google o Meta, porque la cuota mensual es el modelo de negocio, y tu data no lo es. Un proveedor de VPS tiene menos datos agregados sobre ti, a saber, tu único servidor, no tu historial de búsquedas, tu historial de ubicación y tu bandeja de entrada combinados.

En la UE, el proveedor opera bajo el RGPD y términos contractuales específicos. Nada de esto hace que un VPS sea más seguro que Google en todas las dimensiones. Es un modelo de amenazas distinto con un perfil de exposición distinto, y para el modelo de amenazas que aborda este artículo, es una mejora significativa.

Hay una distinción más en la que vale la pena ser preciso. La privacidad es "no saben qué estoy haciendo". El anonimato es "no saben que soy yo quien lo hace". El autoalojamiento en un VPS comercial mejora la privacidad frente a proveedores SaaS y plataformas de terceros.

No te da anonimato frente a tu proveedor de VPS. Si necesitas anonimato, estás usando Tor, no un VPS, y el resto de este artículo es la herramienta equivocada.

Conclusión clave de la sección: Un VPS desplaza tu confianza desde un proveedor SaaS cuyo modelo de negocio es monetizar tu data hacia un proveedor de infraestructura cuyo modelo de negocio es venderte un servidor. Para el modelo de amenazas de la mayoría de los lectores, eso es una mejora significativa, pero no es invisibilidad.

La pila de cinco capas de un vistazo

The five-layer self-hosted privacy stack at a glance: network, identity, search, files and photos, and communications, each with its recommended app and what it replaces.

Cinco capas, desplegadas en este orden: red, identidad, búsqueda, archivos, comunicaciones. Cada una aborda una amenaza distinta. Puedes desplegarlas por etapas, y puedes saltarte las capas que no te apliquen. El modelo es más útil que una lista de apps porque escala con tus preocupaciones en lugar de con el número de servicios corriendo en tu servidor.

CapaApp recomendadaReemplazaProtege contraNO protege contraMínimo de RAM
RedWireGuardVPN comercialObservadores del ISP y de la red local, atacantes en Wi-Fi públicoEl proveedor de VPS viendo tu salida, fugas de DNS si no se configuraMenos de 100 MB
IdentidadVaultwardenLastPass, 1Password (alojado)Brechas de contraseñas del lado del proveedor, reutilización de credencialesContraseña maestra débil, sin 2FA, phishing, compromiso del dispositivoMenos de 200 MB
BúsquedaSearXNGGoogle Search, BingPerfilado de consultas de búsqueda, segmentación de anuncios basada en consultasRastreo en los sitios que visitas de verdad, fingerprinting del navegador~250 MB
Archivos y fotosNextcloud AIO + ImmichGoogle Drive, Google PhotosEscaneo de contenido por parte del proveedor de la nube, cruce de datos entre productosVolúmenes de almacenamiento del VPS (el cifrado en reposo depende de ti), compromiso del lado del dispositivo4 GB floor for Nextcloud AIO alone; 8 GB / 4 vCPU safer once Immich ML is enabled
ComunicacionesMattermost o Rocket.ChatSlack, Discord (uso de equipo)Archivado de mensajes y escaneo de contenido del lado del proveedorCifrado de extremo a extremo (estos no son E2EE por defecto)Mattermost: mínimo 2 GB; Rocket.Chat: 4 GB+

Conclusión clave de la sección: Empieza con WireGuard, Vaultwarden y SearXNG si quieres la pila de privacidad más ligera. Añade Nextcloud, Immich y chat de equipo solo después de que estés listo para un mayor uso de RAM, planificación de almacenamiento, copias de seguridad y más trabajo de administración.

Capa 1: la capa de red (WireGuard)

Network layer: WireGuard running on a VPS routes a user's traffic so it egresses from the server instead of the home connection, hiding browsing from the ISP and local network.

El archivo de configuración de WireGuard para un montaje típico de un solo usuario tiene doce líneas. Su handshake se completa en una ida y vuelta y usa el marco del protocolo Noise. El módulo del kernel ha estado en la rama principal de Linux desde la 5.6, lo que significa que el protocolo que despliegas en 2026 es el mismo que ha estado auditado y estable durante años. Este es el valor por defecto correcto.

Lo que aborda esta capa: los observadores del ISP y de la red local que de otro modo verían cada dominio al que te conectas, los atacantes en Wi-Fi público, y la exposición de tu IP de casa a cada servicio que visitas. Tu tráfico sale desde tu VPS en lugar de desde tu apartamento.

Lo que no aborda: la visión que tu proveedor de VPS tiene de la salida de tu tráfico. Ven a qué se conecta tu punto de salida de la VPN, cuándo y cuánto. WireGuard oculta el tráfico a tu ISP. No oculta el tráfico al servidor que opera la salida.

Las fugas de DNS también son un problema aparte y no se gestionan automáticamente; tienes que apuntar tus clientes de VPN a un resolutor en el que confíes. Corre Unbound en el mismo VPS, o usa un upstream de confianza sobre DoT o DoH. El bloqueo de anuncios a nivel de DNS completo con Pi-hole es un tema aparte y no es lo adecuado para combinar con una salida de VPN para la mayoría de los usuarios (más sobre esto a continuación).

WireGuard frente a las alternativas, brevemente. OpenVPN aún funciona. El handshake es mayor, la huella de metadatos es más grande, y el rendimiento es menor. No hay razón para elegirlo para un despliegue nuevo a menos que necesites específicamente una característica que WireGuard no ofrece.

Tailscale es una herramienta distinta: es una malla de configuración cero construida sobre WireGuard y es excelente para coser tus propios servicios autoalojados entre máquinas. No es lo que quieres como salida de privacidad a internet, porque el plano de coordinación lo aloja Tailscale.

Nota: Cambiar el puerto por defecto 51820/UDP puede reducir los escaneos de bajo esfuerzo, pero no hace que WireGuard parezca tráfico HTTPS normal ni esquiva un filtrado serio. Trátalo como reducción de escaneos, no como sigilo.

Para el despliegue, tenemos una guía de configuración de WireGuard para Ubuntu paso a paso que encaja con esta arquitectura.

Conclusión clave de la sección: WireGuard en tu VPS te da una salida de red privada que tu ISP no puede inspeccionar, pero no oculta tu tráfico al proveedor de VPS que opera la salida.

Capa 2: la capa de identidad (Vaultwarden)

Identity layer: Vaultwarden, a Rust reimplementation of the Bitwarden API, runs on the VPS and serves official Bitwarden clients so the password vault leaves breach-prone vendor infrastructure.

Vaultwarden corre en menos de 200 MB de RAM. Es una reimplementación en Rust de la API de Bitwarden, compatible con todos los clientes oficiales de Bitwarden (extensiones de navegador, apps de escritorio, apps móviles), y no requiere la pesada imagen de referencia del servidor de Bitwarden. Para un solo usuario o un hogar, este es el tamaño correcto.

Lo que aborda esta capa: las brechas de contraseñas del lado del proveedor, como el fallo al estilo LastPass, donde el contenido de las bóvedas se filtró y acabó descifrándose sin conexión. La reutilización de credenciales entre servicios se vuelve mecánicamente más difícil una vez que tienes un gestor de contraseñas que de verdad usas. La agregación del perfil de identidad entre servicios cae, porque ningún tercero ve la lista.

Lo que no aborda: tu propia OpSec. Una contraseña maestra débil, la falta de 2FA en la bóveda, o un ataque de phishing exitoso contra ti derrota esta capa por completo. Un dispositivo comprometido con una extensión de navegador con sesión iniciada la derrota aún más por completo. Vaultwarden es una bóveda, no un sustituto de lo básico.

Hay una advertencia operativa que importa más que ninguna otra en esta pila. Autoalojar tu gestor de contraseñas significa que eres responsable de las copias de seguridad. Un VPS que falla en el peor momento, o un servidor que borras por accidente, te bloquea el acceso a cada cuenta que protege esta capa.

XDA Developers también ha cubierto este riesgo directamente, advirtiendo de que un gestor de contraseñas autoalojado puede bloquearte el acceso a cuentas importantes si el acceso, las copias de seguridad o la planificación de recuperación fallan.

Advertencia: Corre copias de seguridad cifradas y automatizadas del directorio de datos de Vaultwarden. Mantén una exportación cifrada sin conexión, guarda los códigos de recuperación por separado, y prueba la restauración en un dispositivo de repuesto o un contenedor temporal. No te fíes de una sola copia de seguridad del VPS. Esto no es opcional. Es el precio de sacar la bóveda de la infraestructura del proveedor.

Si más adelante centralizas el inicio de sesión único entre varios servicios autoalojados, Authentik es el proveedor de identidad de código abierto en el que la mayoría de la gente acaba. Esa es una capa avanzada y queda fuera del alcance de la pila básica.

Para el despliegue, nuestra guía de autoalojamiento de Vaultwarden es la compañera de despliegue. Para una mirada más profunda al panorama de los gestores de contraseñas, consulta nuestra guía de los mejores gestores de contraseñas autoalojados.

Conclusión clave de la sección: Vaultwarden saca tu bóveda de contraseñas de la infraestructura del proveedor, propensa a brechas, pero te pone encima la carga de las copias de seguridad y la recuperación, y esa carga es real.

Capa 3: la capa de búsqueda y navegación (SearXNG)

Search layer: SearXNG on the VPS receives a query, fans it out to upstream engines like Google, Bing, and DuckDuckGo, strips identifying parameters, and returns a unified result page.

Una instancia de SearXNG recibe tu consulta, la reparte entre motores upstream (Google, Bing, DuckDuckGo, otros que actives), elimina algunos parámetros identificativos, y devuelve una página de resultados unificada.

Tus consultas llegan a Google, pero llegan a Google como consultas desde tu VPS, no desde tu cuenta de búsqueda con sesión iniciada. Una instancia de un solo usuario no crea un gran grupo de anonimato, así que los motores upstream aún pueden asociar patrones de consulta con esa IP del VPS.

Lo que aborda esta capa: el perfilado de consultas de búsqueda, la segmentación conductual de anuncios atada a tu historial de búsqueda con sesión iniciada, y la larga memoria de una cuenta de búsqueda. El problema de "¿por qué veo anuncios de lo que busqué ayer?" se reduce a nivel de la cuenta de búsqueda.

Lo que no aborda: el rastreo por parte de los sitios en los que realmente haces clic. Las cookies, el fingerprinting y los rastreadores en páginas de terceros son un problema del lado del navegador, no del lado de la búsqueda. Usa una configuración de navegador endurecida para abordar eso.

SearXNG tampoco te anonimiza frente al motor de búsqueda upstream si tu VPS le envía solo tus consultas; el tráfico agregado de una instancia con mucha actividad oculta a los usuarios individuales en el ruido, pero una instancia de un solo usuario aún puede parecer el patrón de búsqueda de un único usuario.

Whoogle Search es la alternativa más ligera. Es un front-end de Google, más simple, y hace una sola cosa. SearXNG agrega varios motores, lo cual es más útil si tu motivo para dejar Google no era específicamente Google. Elige en función de cuántas fuentes quieres realmente.

Una nota operativa para las instancias de un solo usuario. SearXNG reenvía las consultas a los motores upstream, y Google puede limitar la tasa de patrones de tráfico sospechosos. Un solo usuario rara vez llega a esto. Una pequeña instancia pública podría. Si las consultas empiezan a fallar, reduce el número de motores upstream, ajusta la configuración del limitador de SearXNG, o apóyate más en motores upstream menos hostiles.

Conclusión clave de la sección: SearXNG hace de proxy de tus búsquedas a través de tu VPS y las mantiene fuera de tu cuenta de búsqueda con sesión iniciada. Reduce el perfilado directo de búsquedas, pero una instancia privada de un solo usuario no crea un gran grupo de anonimato.

Capa 4: la capa de archivos y fotos (Nextcloud AIO + Immich)

Files and photos layer: Nextcloud AIO provides file sync, calendar, and contacts while Immich handles photos with timeline view and on-server facial recognition, replacing Google Drive and Google Photos.

Nextcloud AIO es el despliegue Docker todo en uno de Nextcloud y es la vía de menor resistencia hacia un servidor funcional de sincronización de archivos, calendario, contactos y colaboración de documentos.

Immich es la contraparte para fotos: vista de línea de tiempo, subida automática desde el móvil en iOS y Android, reconocimiento facial al estilo Google Photos procesado en tu propio servidor o en el host de ML que elijas, y un consenso honesto de la comunidad de que es el reemplazo de Google Photos más usable que se está distribuyendo actualmente.

Estas no son aplicaciones ligeras. Nextcloud AIO debería tratarse como una base de 4 GB / 2 vCPU; el aprendizaje automático de Immich, la generación de miniaturas y el primer escaneo de la biblioteca usarán lo que les des.

Lo que aborda esta capa: el escaneo del proveedor de almacenamiento en la nube, el reconocimiento del contenido de las fotos, y el procesamiento del lado de la nube que mantiene una biblioteca personal sensible dentro de una cuenta del proveedor, y la centralización de datos a nivel de cuenta que mantiene archivos, fotos, búsquedas, historial de ubicación y señales de identidad bajo la cuenta de una sola empresa.

Reemplazar esto con un servidor que controlas rompe esa centralización.

Lo que no aborda: los bytes siguen viviendo en un volumen de almacenamiento que opera tu proveedor de VPS. El cifrado en reposo es tu responsabilidad, no la suya por defecto. El compromiso del lado del dispositivo es un problema aparte; si tu teléfono está rooteado, el cliente de Nextcloud en él está expuesto independientemente de dónde viva el servidor.

Si tu única necesidad es "mantener estas carpetas sincronizadas entre mis dispositivos", Syncthing es la herramienta más simple. Es entre pares, no tiene servidor en medio, y hace bien esa única tarea. No es un reemplazo de las funciones de calendario, contactos y colaboración que ofrece Nextcloud; es un reemplazo del subconjunto de sincronización de archivos.

Para Immich en concreto, importa una regla práctica de dimensionamiento. Nextcloud AIO debería tratarse como una base de 4 GB / 2 vCPU. Immich no es un complemento de fotos ligero una vez que entran en escena el aprendizaje automático, las miniaturas y un primer escaneo de la biblioteca. Planifica en torno a 6-8 GB de RAM para montajes con mucho Immich, sobre todo durante la migración.

Para el despliegue, tenemos una comparativa de Nextcloud vs ownCloud para usuarios que aún eligen entre los dos, y un panorama más amplio de plataformas cloud autoalojadas con interfaz web si estás explorando el campo.

Conclusión clave de la sección: Nextcloud e Immich pueden sacar archivos y fotos de las cuentas en la nube al estilo Google, pero son la primera capa de esta pila que necesita RAM seria, almacenamiento, planificación de copias de seguridad y paciencia con la migración.

Capa 5: la capa de comunicaciones (Mattermost o Rocket.Chat)

Communications layer: a self-hosted Mattermost or Rocket.Chat server keeps a team's chat history off Slack, Discord, and Microsoft Teams, with the server admin in control instead of a SaaS vendor.

Los espacios de trabajo de Slack son buscables por Slack. Discord escanea el contenido en busca de violaciones de sus términos de servicio. Microsoft Teams retiene los registros de chat bajo las políticas de tu inquilino, que son políticas que tu organización de TI puede ver.

Para el chat de equipo o de familia que no debería vivir en ninguno de esos lugares, un Mattermost o Rocket.Chat autoalojado es la respuesta estándar. Esta capa trata de mantener los archivos del equipo fuera del SaaS, no de un chat privado de extremo a extremo.

Lo que aborda esta capa: el archivado de mensajes del lado del proveedor, el escaneo de contenido del lado del proveedor, y la pérdida de acceso que ocurre cuando el proveedor decide que tu cuenta es un problema. El historial de mensajes de tu equipo reposa en tu servidor.

Lo que no aborda, y esto importa: el cifrado de extremo a extremo. Mattermost y Rocket.Chat no son E2EE por defecto. El administrador del servidor puede leer los mensajes. El administrador del servidor ahora eres tú, lo cual es mejor que sean empleados de un proveedor SaaS, pero el principio sigue importando para el modelo de amenazas de tu equipo.

Para mensajería segura entre dos personas, Signal es la respuesta correcta, no un servidor autoalojado. Si la capa de comunicación debe ser E2EE por defecto, mira Matrix/Element o usa Signal para los chats personales. El autoalojamiento resuelve la mensajería de equipo sin un proveedor; no reemplaza a Signal para los modelos de amenazas personales.

Mattermost frente a Rocket.Chat. Ambos son válidos. Mattermost es más ajustado, más con forma empresarial, y tiene menos características opcionales activadas por defecto. Rocket.Chat es más amplio, integra más tipos de canales, y tiene un ecosistema de plugins mayor. Cualquiera está bien para el caso de uso típico de la pila de privacidad de un equipo pequeño o un chat familiar.

Advertencia para 2026: Comprueba la edición gratuita exacta antes de desplegar Mattermost. Mattermost Entry tiene un tope de historial de 10.000 mensajes, mientras que Team Edition evita ese tope pero tiene sus propios límites. Para Rocket.Chat, presupuesta más que un VPS diminuto de 1 GB, porque MongoDB, las subidas y las integraciones añaden sobrecarga.

Conclusión clave de la sección: Un Mattermost o Rocket.Chat autoalojado saca el archivo de chat de tu equipo de un proveedor SaaS, pero si necesitas un cifrado real de extremo a extremo entre dos personas, Signal sigue siendo la herramienta correcta.

Qué NO autoalojar (y por qué)

Algunas cosas que parecen pertenecer a una pila de privacidad no encajan. Enumerarlas es parte de construir una pila digna de confianza.

Correo electrónico. No autoalojes correo electrónico si no eres ya un operador de Linux experimentado que específicamente quiere hacerlo. PrivacyGuides tiene una postura clara y bien conocida sobre esto, y es la correcta: solo los usuarios avanzados deberían correr su propio servidor de correo. Las razones no son curiosidad técnica. SPF, DKIM y DMARC tienen que configurarse y mantenerse correctos.

La reputación de IP hay que ganarla y mantenerla. El filtrado de spam es un estado de cosas permanente. La pelea de entregabilidad con Gmail no es un paso de configuración; es una condición continua. Para todos los demás, un proveedor gestionado que respeta la privacidad es genuinamente la respuesta correcta para esta capa.

Proton Mail, Tuta (antes Tutanota) y Mailbox.org son todas buenas opciones. Esta es una regla dura de este artículo: no autoalojes correo electrónico para una privacidad de audiencia general.

Pi-hole como resolutor de DNS principal de la red de tu casa, en un VPS. Pi-hole es estupendo. Ponerlo en un VPS como resolutor recursivo para todo el internet de tu hogar es un único punto de fallo que rompe internet para todos en la casa cuando el VPS hipa. Pi-hole pertenece a una Raspberry Pi en casa. No es parte de esta pila.

Redes sociales federadas. Mastodon, Pleroma y el resto son interesantes y adyacentes. La adopción es la restricción principal, no la privacidad. Son la respuesta correcta para algunas personas, pero no son centrales para una pila de privacidad enfocada en sacar tus propios datos de los servidores de las grandes tecnológicas.

Herramientas de anonimato. Tor, I2P, mixnets. Modelo de amenazas distinto, artículo distinto. Si las necesitas, ya lo sabes.

El resumen: Proton Mail o un par es una alternativa gestionada para una capa específica, y reconocerlo es parte de una pila digna de usarse. El autoalojamiento ayuda donde esos proveedores no cubren el flujo de trabajo completo: fotos, búsqueda, analíticas personalizadas y chat de equipo. Para una privacidad de audiencia general, el correo electrónico es la única capa que esta pila debería externalizar.

Conclusión clave de la sección: La mayoría de los usuarios no deberían autoalojar correo electrónico. Un proveedor gestionado que respeta la privacidad como Proton Mail es genuinamente la mejor respuesta para esa única capa, y reconocerlo es parte de construir una pila digna de confianza.

Dónde correrlo: dimensionamiento de VPS y jurisdicción

VPS sizing for the privacy stack: a minimum stack of WireGuard, Vaultwarden, and SearXNG runs on a small VPS, while adding Nextcloud and then Immich raises the RAM and vCPU floor.

La cuestión del dimensionamiento no es abstracta. Esta pila tiene tres formas prácticas: el núcleo de privacidad ligero, la capa de archivos, y la versión con muchas fotos que mete el aprendizaje automático de Immich en la mezcla. El salto de una a la siguiente no es cosmético. Los archivos, las miniaturas, el reconocimiento facial y la migración de la primera biblioteca son lo que convierte un VPS pequeño en un presupuesto de servidor en condiciones.

Forma de despliegueApps incluidasMínimo realista de VPS
Pila mínima viableWireGuard, Vaultwarden, SearXNG2 GB RAM / 1 vCPU
Base de NextcloudWireGuard, Vaultwarden, SearXNG, Nextcloud AIO4 GB RAM / 2 vCPU
Pila de archivos y fotosWireGuard, Vaultwarden, SearXNG, Nextcloud AIO, Immich8 GB RAM / 4 vCPU
Nota sobre almacenamiento y copias de seguridadSobre todo Nextcloud e ImmichAlmacenamiento NVMe + copias de seguridad fuera del servidor

Lee la tabla así:

  • Pila mínima cubre las tres capas de mayor rendimiento: red, identidad y búsqueda.
  • Base de Nextcloud necesita más margen porque PHP, el trabajo de base de datos, la indexación de archivos, los trabajos de sincronización y la interfaz web corren todos juntos.
  • Pila de archivos y fotos necesita un presupuesto mayor porque el aprendizaje automático de Immich, las miniaturas, el reconocimiento facial y el primer escaneo de la biblioteca de fotos pueden cargar mucho el servidor durante la migración.
  • El almacenamiento importa porque la computación es solo la mitad del plan. Los archivos y las fotos necesitan espacio para crecer, copias de seguridad lejos del VPS, y una vía de recuperación que siga funcionando si el servidor desaparece.

Luego está la jurisdicción. En junio de 2025, Microsoft testificó ante el Parlamento francés que no podía garantizar que los datos alojados en la UE estuvieran protegidos del acceso legal de EE. UU. Ese testimonio sacó el argumento de la soberanía de datos de la teoría y lo metió en la conversación de política general.

Para los usuarios que priorizan la soberanía de datos, la jurisdicción de la empresa, la ubicación del centro de datos, los contratos, el modelo de cifrado y la ubicación de las copias de seguridad importan todos.

If CLOUD Act La exposición a la CLOUD Act es parte de la preocupación, no trates un centro de datos en la UE por sí solo como la respuesta completa. Un proveedor no estadounidense con una región europea encaja mejor que la región de la UE de un hiperescalador con sede en EE. UU., pero eso aún no hace que los datos sean legalmente intocables.

La salvedad: La jurisdicción es fricción, no invulnerabilidad. Una orden judicial alemana sigue siendo una orden judicial. Una holandesa también. Y una solicitud legal suiza igual. El hosting europeo puede reducir parte de la exposición directa a proveedores de nube con sede en EE. UU. y añadir un proceso legal local, pero no hace que los datos sean legalmente intocables.

Para el modelo de amenazas de la mayoría de los lectores, la fricción añadida es útil. No es un escudo mágico.

Conclusión clave de la sección: La pila ligera puede correr en un VPS pequeño, pero los archivos y las fotos cambian el presupuesto. Usa 4 GB / 2 vCPU como base solo para Nextcloud, y planifica más cerca de 8 GB / 4 vCPU para un montaje con muchas fotos en Immich. El Marketplace de Cloudzy reduce el esfuerzo de configuración de las apps básicas, mientras que la jurisdicción añade fricción legal, no invisibilidad.

Cómo desplegar la pila sin convertir la configuración en el proyecto

Puedes construir cada capa manualmente. Eso está bien si el trabajo de configuración es parte del atractivo. Para la mayoría de los lectores, no lo es. El sentido de esta pila es alejarse de la gravedad de datos de las grandes tecnológicas, no pasarte una semana depurando Docker, puertos, DNS y archivos de servicio antes de que siquiera corra la primera app.

La vía de menor fricción es partir de una imagen de VPS funcional y endurecer desde ahí. El Marketplace de Cloudzy incluye imágenes de VPS de un clic para WireGuard, Vaultwarden, SearXNG, Nextcloud AIO y otras herramientas autoalojadas, así que el despliegue base no es la parte que se come el fin de semana.

El trabajo que sigue importando es el trabajo que ningún marketplace puede hacer por ti: DNS, reglas de firewall, copias de seguridad, controles de acceso, actualizaciones y pruebas de recuperación.

El servidor de abajo también sigue importando. Esta pila es almacenamiento, red, elección de región y margen, no solo nombres de apps en una tabla. Cloudzy te da infraestructura de VPS respaldada por NVMe, acceso root completo, 13 regiones, red de 40 Gbps, 99,95% de tiempo de actividad, y un periodo de devolución de 14 días.

Empieza pequeño para WireGuard, Vaultwarden y SearXNG. Sube para Nextcloud. Planifica con más seriedad para Immich una vez que entren en escena el aprendizaje automático, las miniaturas y la migración de fotos.

Cómo empezar

Cinco capas, cada una abordando una amenaza específica. Ninguna de ellas pretende hacerte invisible. Todas reducen una exposición comercial de datos específica que actualmente aceptas por defecto.

Elige la única capa que aborde tu dolor concreto más actual. Si alguna vez has abierto un correo de notificación de brecha, esa es la capa de identidad. Si has notado anuncios que te siguen por sitios que nunca has visitado, esa es la capa de búsqueda. Despliega esa. La arquitectura escala. La decisión de empezar no tiene por qué hacerlo.

La configuración de cualquier capa individual lleva un fin de semana como mucho. Los archivos de configuración son cortos. No hay razón para que sea más complicado que esto.

Preguntas frecuentes

¿El autoalojamiento en un VPS protege de verdad mi privacidad, o solo estoy confiando en un proveedor distinto?

Sí, para este modelo de amenazas. Desplaza la confianza desde los proveedores SaaS que monetizan los datos de los usuarios hacia un proveedor de VPS que vende infraestructura. Eso reduce la exposición comercial y el perfilado entre servicios, pero no oculta los metadatos del VPS, los registros de conexión del ISP, los dispositivos comprometidos ni la vigilancia de nivel estatal.

¿Cuál es la pila de privacidad autoalojada mínima con la que debería empezar?

Empieza con WireGuard, Vaultwarden y SearXNG. Esas cubren la visibilidad de red, el riesgo de brecha del proveedor de contraseñas, y el perfilado de búsqueda con sesión iniciada, en un VPS de 2 GB de RAM. Añade Nextcloud más tarde; añade Immich solo después de que tengas más RAM, almacenamiento y disciplina de copias de seguridad.

¿Alojar en Frankfurt o Ámsterdam es de verdad mejor para la privacidad que en EE. UU.?

Las regiones europeas pueden reducir parte de la exposición directa a proveedores con sede en EE. UU., pero no hacen que los datos sean legalmente intocables. La jurisdicción de la empresa, la ubicación del centro de datos, los contratos, el cifrado y la ubicación de las copias de seguridad importan todos. Las solicitudes legales alemanas, holandesas o suizas aún pueden aplicarse.

¿Debería autoalojar mi correo electrónico por privacidad?

Para casi todo el mundo, no. El autoalojamiento de correo requiere SPF, DKIM, DMARC, reputación de IP, filtrado de spam y un trabajo constante de entregabilidad. Usa un proveedor gestionado que respeta la privacidad como Proton Mail, Tuta o Mailbox.org. PrivacyGuides recomienda el correo autoalojado solo para usuarios avanzados.

¿De qué me protege WireGuard en realidad?

WireGuard enruta el tráfico a través de tu VPS, limitando lo que tu ISP y tu red local pueden ver. No oculta el tráfico de salida al proveedor de VPS. Aún pueden ver los metadatos de conexión, las IP de destino, los tiempos y el volumen. Es privacidad frente a tu ISP, no invisibilidad.

Compartir

Más del blog

Sigue leyendo.

¿Listo para desplegar? Desde $2,48/mes.

Cloud independiente desde 2008. AMD EPYC, NVMe, 40 Gbps. Reembolso en 14 días.