Marcos Ramírez BETA
Logo de Vaultwarden para gestionar contraseñas

Vaultwarden: contraseñas seguras en tu servidor, sin pagos

· ⏱ 10+ min lectura

Este post forma parte de la serie Home Lab Hay gente que reutiliza contraseñas. Hay gente que usa “123456”. Hay gente que tiene la misma contraseña en el banco y en el foro de recetas de cocina donde se registró hace diez años. Y un día alguien filtra esa base de datos y, ¡y ZAS!, acceso a todo. Un gestor de contraseñas no es opcional. Es lo mínimo. Y Vaultwarden te da el control total sobre el tuyo.

Qué es Vaultwarden

Vaultwarden es una implementación de servidor del API de Bitwarden, escrita en Rust. Es ligera, rápida y totalmente compatible con todos los clientes oficiales de Bitwarden: extensiones de navegador, aplicaciones de escritorio, apps móviles. Básicamente, es Bitwarden en tu servidor, sin pagar nada por las funcionalidades premium.

Por qué existe

Bitwarden es excelente. Código abierto, clientes en todas las plataformas y una versión gratuita decente. Pero las funcionalidades premium cuestan 10 euros al año por usuario. Vaultwarden te da todas esas funcionalidades premium gratis: TOTP, archivos adjuntos, acceso de emergencia, organizaciones. Todo. Y lo más importante: tus contraseñas están en tu servidor, no en los servidores de Bitwarden.

Características principales

Compatible con clientes Bitwarden

Usas exactamente las mismas aplicaciones que Bitwarden. La misma interfaz, las mismas extensiones de navegador, las mismas apps móviles. Lo único que cambia es la URL del servidor. Tus dispositivos no notan la diferencia.

Cifrado del lado del cliente

Tu contraseña maestra nunca sale de tu dispositivo. Todo el cifrado y descifrado ocurre localmente. El servidor solo almacena datos cifrados que no puede leer. Ni el tuyo propio.

Funcionalidades premium gratuitas

Estas son las funcionalidades que en Bitwarden requieren suscripción y en Vaultwarden son gratis:

  • TOTP: autenticador de dos factores integrado
  • Archivos adjuntos: guarda archivos directamente en tu bóveda
  • Acceso de emergencia: designa a alguien de confianza que pueda acceder a tu bóveda si te pasa algo
  • Organizaciones: comparte contraseñas con familia o equipo
  • Informes de salud de la bóveda: detecta contraseñas débiles, reutilizadas o comprometidas

Autenticación de dos factores

Soporta múltiples métodos de 2FA:

Sincronización en tiempo real

WebSocket para escritorio y navegador, notificaciones push para móviles. Cambias una contraseña en el ordenador y al segundo la tienes en el móvil.

Ligero

Vaultwarden usa apenas 50 MB de RAM. En una Raspberry Pi funciona sin problema. No necesitas hardware serio para esto.

Bases de datos

Usa SQLite por defecto, pero puede conectarse a MySQL o PostgreSQL si necesitas más rendimiento o tienes una base de datos centralizada en el Home Lab.

Comparativa con alternativas

CaracterísticaVaultwardenBitwarden CloudBitwarden Self-Hosted1PasswordLastPass
PrecioGratisGratis / 10 €/año3,33 €/mes2,99 €/mes2,90 €/mes
Código abiertoParcialParcialNoNo
Datos localesNoSí (tú decides)NoNo
TOTP gratisNo (premium)No (premium)
Archivos adjuntosNo (premium)No (premium)
Acceso de emergenciaNo (premium)No (premium)
OrganizacionesIlimitadasLimitadoIlimitadas
RAM requerida~50 MBN/A2 GB+N/AN/A

Bitwarden Cloud

Bitwarden es la opción oficial. Gratis para un usuario en lo básico, pero las funcionalidades premium cuestan. Tus datos están en sus servidores. Si eso no te importa, funciona bien.

Bitwarden Self-Hosted

La versión auto-alojada oficial de Bitwarden. Requiere Microsoft SQL Server y unos 2 GB de RAM. Más pesada que Vaultwarden sin ofrecer nada extra para un uso doméstico.

1Password

1Password es excelente en experiencia de usuario, pero es propietario y caro. No tienes acceso al código. Dependencia total.

LastPass

LastPass ha tenido varios incidentes de seguridad serios. No lo recomiendo.

Cómo migré desde otro gestor de contraseñas

La migración es el momento en el que la mayoría de la gente se echa atrás. “Tengo 300 contraseñas guardadas en LastPass, ¿cómo las paso a Vaultwarden sin perder nada?” La respuesta es: más fácil de lo que parece.

Exportar desde el gestor anterior

Casi todos los gestores de contraseñas tienen opción de exportar en CSV o JSON. En LastPass: Configuración avanzada, Exportar. En 1Password: Exportar, formato 1PUX o CSV. En el propio Bitwarden Cloud: Herramientas, Exportar bóveda. Guarda ese archivo en un lugar seguro (y bórralo cuando hayas terminado, porque tiene todas tus contraseñas en texto plano).

Importar en Vaultwarden

Vaultwarden acepta exactamente los mismos formatos de importación que Bitwarden Cloud, porque los clientes son los mismos. Desde la extensión de navegador o la app de escritorio: Herramientas, Importar datos, selecciona el formato y el archivo. En menos de un minuto tienes las 300 contraseñas migradas, organizadas en carpetas si las tenías así, con las notas y URLs preservadas. La primera vez lo hice con una exportación de LastPass y funcionó sin problemas. Tuve que revisar manualmente unas veinte entradas que tenían campos raros o URLs duplicadas, pero el 95% llegó limpio.

Configurar el cliente Bitwarden con Vaultwarden

Este es el paso que confunde a la gente. Vaultwarden no tiene su propia app: usas los clientes oficiales de Bitwarden, pero apuntando a tu servidor en lugar de al servidor de Bitwarden. En la extensión de navegador: haz clic en el icono, luego en el icono de configuración (la rueda o el engranaje), y busca “URL del servidor” o “Self-hosted”. Pon la URL de tu Vaultwarden con el puerto si lo tienes en uno no estándar (por ejemplo, https://vault.tudominio.com). Guarda y ya puedes iniciar sesión con tu cuenta local. En el móvil: mismo proceso. En la pantalla de login hay una opción para configurar el servidor. La pones una vez y no la vuelves a tocar. Importante: HTTPS es obligatorio. Vaultwarden no funciona en HTTP por diseño, y con razón. Necesitas un certificado SSL, que si tienes el resto del Home Lab montado ya tienes con Let’s Encrypt o similar.

Configurar el 2FA en Vaultwarden

Esta parte es la que más suele saltarse la gente y es la más importante. Si alguien obtiene tu contraseña maestra, sin 2FA tiene acceso a todas tus contraseñas. Con 2FA, necesita también el segundo factor.

TOTP: la opción más práctica

TOTP es el estándar de los códigos de seis dígitos que cambian cada treinta segundos. En Vaultwarden está disponible gratis (en Bitwarden Cloud requiere suscripción premium). Lo configuras desde el panel web de tu bóveda: Configuración de la cuenta, Seguridad, Autenticación de dos pasos. Generas el QR, lo escaneas con cualquier app de autenticación (Aegis en Android, que es open source, o el propio Bitwarden Authenticator) y ya tienes el segundo factor activo. A partir de ahí, cada login pide el código de seis dígitos además de la contraseña maestra.

YubiKey y FIDO2: si quieres ir más lejos

Para los paranoicos (en el buen sentido): Vaultwarden soporta YubiKey y FIDO2. Con una YubiKey, el segundo factor es físico: necesitas tener la llave enchufada o acercarla al NFC del móvil. Sin la llave, no hay acceso. Más caro que TOTP, pero prácticamente imposible de comprometer en remoto.

Los backups de la bóveda: lo más crítico de todo esto

Repito lo que ya puse antes porque es demasiado importante: tus contraseñas están en tu servidor. Si el disco se rompe sin copia de seguridad, lo pierdes todo. Sin posibilidad de recuperación de ningún tipo. No hay servicio de atención al cliente al que llamar.

Qué hacer backup

El archivo de base de datos de Vaultwarden (SQLite por defecto) está en /data/db.sqlite3. Ese archivo contiene toda la bóveda cifrada. Con copiar ese archivo a un lugar seguro de forma regular tienes lo fundamental. Si usas PostgreSQL o MySQL, el backup es el dump estándar de la base de datos. Además de la base de datos, Vaultwarden guarda en /data/ los archivos adjuntos y las claves de cifrado. Haz backup de todo el directorio /data/, no solo de la base de datos.

Con qué frecuencia

Yo lo tengo programado para que se ejecute cada noche. Las contraseñas no cambian tan seguido, pero la tranquilidad de tener el backup de anoche ya vale el espacio que ocupa.

Dónde guardar el backup

En un lugar diferente al servidor de Vaultwarden. Si el backup y el servicio están en el mismo disco, el backup no sirve de nada. Mínimo en otro disco del mismo servidor. Mejor en otro servidor de la red. Mejor todavía en un lugar fuera de casa. En mi post sobre backups está la estrategia completa. Para Vaultwarden aplica exactamente lo mismo.

Exportación manual de emergencia

Además del backup del servidor, haz exportaciones periódicas de la bóveda desde el propio cliente de Bitwarden: Herramientas, Exportar bóveda. Guarda ese archivo cifrado en un lugar seguro (un disco USB en casa, por ejemplo). Es tu seguro de vida si el servidor desaparece y no tienes acceso al backup del servidor.

Por qué self-hosted importa

Tus contraseñas son lo más valioso que tienes en digital

Si alguien accede a tu gestor de contraseñas, lo pierde todo: correo, banca, redes sociales, trabajo. Todo en un solo golpe. Con Vaultwarden en tu Home Lab, solo tú tienes acceso. No hay servidores externos que puedan ser comprometidos, porque no existe ese servidor externo.

Sin dependencia de terceros

Bitwarden podría cerrar, cambiar sus políticas de privacidad o subir precios. Con Vaultwarden, tu bóveda está donde tú la pones y nadie te la puede quitar.

Funcionalidades premium gratis

10 euros al año no parece mucho. Pero son 10 euros al año, para siempre, por algo que puedes tener gratis en tu propio servidor. La decisión es fácil si ya tienes el Home Lab montado.

Instalación mediante LXC

La instalación recomendada en un Home Lab es mediante LXC con Docker, que es la forma más cómoda de ejecutarlo.

Requisitos

  • Un contenedor LXC con Docker instalado
  • Al menos 512 MB de RAM
  • HTTPS obligatorio: usa un reverse proxy como Caddy o Nginx

Configuración básica

  1. Accede a la interfaz web
  2. Crea tu cuenta
  3. Configura el token de administrador si quieres acceder al panel de administración
  4. Descarga los clientes de Bitwarden y cambia la URL del servidor a la tuya

Importante: backups

Esto no es opcional. Tus contraseñas están en tu servidor. Si el disco se rompe sin copia de seguridad, lo pierdes todo. Sin posibilidad de recuperación. En mi post sobre backups te explico cómo hacerlos correctamente. Aplica exactamente lo mismo para Vaultwarden: guarda una copia exportada de la bóveda regularmente y en un lugar diferente al servidor. Si necesitas ayuda configurando los backups, escríbeme y lo vemos.

Cuándo elegir qué

Elige Vaultwarden si:

  • Quieres control total sobre tus contraseñas
  • Necesitas funcionalidades premium sin pagar
  • Ya tienes un Home Lab funcionando
  • Valoras tu privacidad
  • Quieres compartir contraseñas con familia o equipo

Elige Bitwarden Cloud si:

  • No quieres mantener nada
  • Te fías de sus servidores
  • No te importa pagar por las funcionalidades premium

Elige 1Password si:

  • Quieres la experiencia más pulida del mercado
  • No te importa pagar
  • No necesitas código abierto

Compártelo si te ha resultado útil. ¿Usas gestor de contraseñas o todavía vas con post-its? Cuéntame. Y… hasta aquí por hoy!

Artículos relacionados

Logo de AdGuard Home bloqueando anuncios

AdGuard Home: tu propio bloqueador de publicidad y el DNS

AdGuard Home es un bloqueador de publicidad y rastreadores a nivel de red que funciona como DNS interceptivo. Protege todos los dispositivos sin instalar nada en cada uno, bloqueando publicidad, trackers, phishing y contenido adulto. Usa listas como EasyList y permite añadir tus propias para bloquear redes sociales y TikTok. Corre ligero en LXC con 512MB RAM.

08:30 7 min Marcos Ramírez Lucía