
La confirmación de Softonic en junio del incidente de Klue/Salesforce es la segunda brecha material de LastPass en cuatro años. Para una categoría cuya propuesta completa es la confianza, dos fallos son suficientes para que un número creciente de usuarios traslade la bóveda a un lugar que pueda auditar y poseer. El artículo de XDA a principios de mes sobre Vaultwarden ejecutándose en un contenedor Docker junto a Jellyfin captura el movimiento obvio: mantener los mismos clientes Bitwarden en todos los dispositivos, dirigirlos a un servidor en la red doméstica o un VPS barato, y nunca volver a pagar una suscripción de gestor de contraseñas.
Probamos las 7 mejores aplicaciones de gestor de contraseñas autohospedadas para escritorio en 2026. La lista abarca el estándar Vaultwarden en Docker en el que la mayoría de configuraciones domésticas se instalan, el lanzamiento oficial de Bitwarden autohospedado para usuarios que quieren mantenerse en la base de código original, las opciones centradas en equipos que brindan uso compartido adecuado y políticas de acceso, y las bóvedas clásicas basadas en archivos que no necesitan servidor en absoluto.
Qué buscar en un gestor de contraseñas autohospedado
Elige un gestor de contraseñas autohospedado que:
- Tenga una imagen de Docker mantenida con un ciclo de lanzamiento conocido. Vaultwarden, el lanzamiento oficial de Bitwarden, Passbolt y Psono califican; los proyectos antiguos sin lanzamientos recientes deben evitarse.
- Funcione con clientes de Bitwarden, KeePass o extensiones de navegador de primera parte cuando sea posible. El bloqueo de cliente personalizado es la fricción que empuja a los usuarios de vuelta a los proveedores de nube.
- Admita copias de seguridad y restauración adecuadas. La bóveda es el archivo más importante en tu servidor; el proyecto debe hacer que su copia de seguridad sea obvia.
- Maneje el uso compartido de familia o equipo con control de acceso basado en roles si más de una persona la usa.
- Tenga opciones documentadas para TLS, integración de proxy inverso y 2FA para la interfaz de administrador.
- Tenga una comunidad activa lo suficientemente grande como para responder la pregunta cuando algo sale mal.
Comparación rápida
| Aplicación | Mejor para | Plataformas | Plan gratuito | Clientes compatibles |
|---|---|---|---|---|
| Vaultwarden | Opción predeterminada de servidor doméstico | Linux, Docker | Sí, completamente | Bitwarden móvil, escritorio, navegador |
| Bitwarden Self-Hosted | El upstream oficial | Linux, Docker | Sí para uso personal | Bitwarden móvil, escritorio, navegador |
| Passbolt | Centrado en equipos, basado en GPG | Linux, Docker | Community Edition gratuita | Extensión de navegador Passbolt, móvil |
| Psono | Bóveda de equipo centrada en la privacidad | Linux, Docker | Sí, completamente | Extensión de navegador Psono, escritorio |
| Padloc | Interfaz de usuario pulida, cifrado de extremo a extremo | Linux, Docker | Sí para uso personal | Escritorio Padloc, móvil, navegador |
| KeePassXC | Basado en archivo, no requiere servidor | Windows, macOS, Linux | Sí, completamente | Escritorio KeePassXC, KeePassDX, Strongbox |
| Pass (passwordstore.org) | Mejor para usuarios avanzados de GPG y Git | Windows, macOS, Linux | Sí, completamente | Browserpass, clientes móviles Pass |
Las 7 mejores aplicaciones de gestor de contraseñas autohospedadas para escritorio
1. Vaultwarden — opción predeterminada de servidor doméstico mejor
Vaultwarden es la reescritura en Rust de la API del servidor de Bitwarden, y ha sido la opción predeterminada de gestor de contraseñas autohospedado para usuarios domésticos desde 2021. El contenedor es pequeño (un binario único más SQLite o Postgres), el uso de recursos es insignificante, y los clientes móvil, escritorio y navegador oficiales de Bitwarden se comunican todos con él sin ninguna modificación. Emparéjalo con un proxy inverso como Caddy o Traefik, apunta un registro DNS al servidor doméstico, y la familia está en la misma bóveda en una hora. Vaultwarden se ejecuta perfectamente en Linux, en un contenedor Docker en Windows o macOS, o en un pequeño VPS por unos pocos dólares al mes.
Donde se queda corto: No es la base de código oficial de Bitwarden, por lo que las auditorías de seguridad cubren el upstream en lugar del fork. Algunas características empresariales (SSO, organizaciones más allá de lo básico) son stubs. El panel de administrador es intencionalmente minimalista.
Plataformas: Linux, Docker. Clientes: Bitwarden móvil, escritorio, extensiones de navegador.
Conclusión: El predeterminado. Elige esto si quieres mantener la experiencia del cliente Bitwarden y ejecutar el servidor por tu cuenta.
2. Bitwarden Self-Hosted — mejor upstream oficial
Bitwarden Self-Hosted es el lanzamiento del servidor Bitwarden oficial. El conjunto de contenedores es más pesado que Vaultwarden (múltiples servicios, MSSQL por defecto) y requiere más memoria para ejecutarse, pero la historia de auditoría es la más fuerte en la categoría y las características empresariales (SSO, uso compartido de nivel premium, políticas de identidad) están todas disponibles. Bitwarden Self-Hosted es la opción correcta para organizaciones que quieren el código upstream, quieren el registro de auditoría y tienen el hardware para soportarlo.
Donde se queda corto: El uso de recursos es lo suficientemente alto como para necesitar al menos 2 GB de memoria para una configuración de usuario único cómoda. El contenedor MSSQL predeterminado es inusual en Linux; la rama Postgres no oficial es la opción más amigable. Las actualizaciones requieren cuidado porque el conjunto de contenedores tiene más piezas móviles que Vaultwarden.
Plataformas: Linux, Docker. Clientes: Bitwarden móvil, escritorio, extensiones de navegador.
Conclusión: Elige esto si quieres la base de código oficial y tienes el hardware para ello.
3. Passbolt — mejor centrado en equipos con GPG
Passbolt es el gestor de contraseñas construido para equipos desde el principio. La arquitectura utiliza claves GPG para cifrado del lado del cliente, por lo que cada miembro del equipo tiene una clave personal y los recursos compartidos se cifran para todos los destinatarios. El uso compartido basado en roles, registros de auditoría y una API extensible son todas características de primer nivel. La Community Edition es gratuita para autohospedarse en Linux y se ejecuta en Docker sin sorpresas. Passbolt es la opción correcta cuando más de tres personas comparten una bóveda.
Donde se queda corto: La gestión de claves GPG es un paso de incorporación real para usuarios no técnicos. La extensión del navegador es confiable pero los clientes móviles son más jóvenes que los principales competidores de la nube. Aún no hay soporte para passkeys.
Plataformas: Linux, Docker. Clientes: extensión de navegador Passbolt, móvil.
Conclusión: Elige esto si estás configurando una bóveda para un equipo pequeño y quieres uso compartido basado en GPG.
4. Psono — mejor bóveda de equipo centrada en la privacidad
Psono es un gestor de contraseñas de equipo con sede en Berlín con una sólida historia de privacidad y una Community Edition completamente funcional y gratuita. El cifrado de extremo a extremo es el estándar, la telemetría del lado del servidor es mínima, y el proyecto admite el tipo de registro de auditoría y características de política de acceso que los equipos más pequeños realmente usan. La extensión del navegador y el cliente de escritorio están pulidos, y el nivel Enterprise opcional agrega SSO, LDAP y el pulido que desean las organizaciones más grandes. Psono vs Passbolt es principalmente una cuestión de GPG (Passbolt) vs modelo de clave simétrica (Psono).
Donde se queda corto: Comunidad más pequeña que Vaultwarden o Bitwarden Self-Hosted. Los clientes móviles son funcionales pero se sienten una generación por detrás. La personalización requiere el nivel Enterprise para algunas características.
Plataformas: Linux, Docker. Clientes: extensión de navegador Psono, escritorio.
Conclusión: Elige esto si quieres una bóveda de equipo centrada en la privacidad y prefieres un stack amigable con Berlín.
5. Padloc — interfaz de usuario pulida mejor
Padloc es la interfaz de usuario del gestor de contraseñas de código abierto más pulida en la categoría autohospedada. El cifrado de extremo a extremo está integrado, los clientes de escritorio y móvil utilizan el mismo lenguaje de diseño moderno, y el servidor autohospedado se ejecuta en un pequeño contenedor Docker sin dependencias externas. El inconveniente de Padloc es que el pulido históricamente ha venido con una comunidad más pequeña que el mundo de Bitwarden, lo que significa que el soporte se basa en los canales del propio proyecto.
Donde se queda corto: Ecosistema más pequeño que el mundo de Bitwarden. El nivel gratuito autohospedado limita algunas características destinadas al plan alojado de pago. Algunos intercambios avanzados requieren una licencia de Padloc Family o Team incluso cuando se autohospeda.
Plataformas: Linux, Docker. Clientes: escritorio Padloc, móvil, extensiones de navegador.
Conclusión: Elige esto si quieres la interfaz de usuario de código abierto más pulida en la categoría.
6. KeePassXC — mejor basado en archivo, no requiere servidor
KeePassXC es el cliente de escritorio multiplataforma para el formato de base de datos de KeePass. La historia “autohospedada” aquí es la más simple posible: la bóveda es un único archivo .kdbx cifrado que guardas en tu propio disco, en Syncthing, en Nextcloud, en un recurso compartido SFTP o en cualquier otro lugar. Sin servidor, sin API, sin superficie para romper. La extensión del navegador maneja el autocompletar, KeePassDX y Strongbox cubren Android e iOS, y el formato de archivo ha sido estable durante años. KeePassXC es la opción correcta para usuarios que quieren saltarse el servidor por completo.
Donde se queda corto: La sincronización es tu problema. Compartir con miembros de la familia implica darles acceso al archivo, lo cual es incómodo. La recuperación de una contraseña maestra perdida es imposible.
Plataformas: Windows, macOS, Linux. Clientes: KeePassXC, KeePassDX (Android), Strongbox (iOS).
Conclusión: Elige esto si quieres la bóveda completamente fuera de cualquier servicio de red.
7. Pass (passwordstore.org) — mejor para usuarios avanzados de GPG y Git
Pass es el gestor de contraseñas de línea de comandos Unix que almacena cada credencial como un archivo cifrado con GPG dentro de un árbol de directorios, con Git para sincronización y control de versiones. Browserpass conecta navegadores, existen varios clientes móviles, y el diseño es el enfoque más limpio de “todo es un archivo” en la categoría. Pass es la opción correcta para usuarios avanzados que ya tienen una configuración de GPG funcional y quieren una bóveda que encaje bien en herramientas existentes.
Donde se queda corto: El aprendizaje más empinado en esta lista. Sin GUI por defecto. El uso compartido en la familia requiere ejecutar un pequeño remoto de Git y administrar claves GPG entre destinatarios.
Plataformas: Windows, macOS, Linux. Clientes: Browserpass, Pass para Android, varios forks de iOS.
Conclusión: Elige esto si ya usas GPG y Git y quieres una bóveda que encaje en ellos.
Cómo elegir el correcto
Elige Vaultwarden si quieres el camino más suave de LastPass a una bóveda autohospedada que mantenga la experiencia del cliente Bitwarden.
Elige Bitwarden Self-Hosted si necesitas el código upstream, el registro de auditoría y el conjunto de características empresariales, y tienes el hardware para ello.
Elige Passbolt si estás configurando una bóveda para un equipo pequeño y quieres un modelo de uso compartido basado en GPG.
Elige Psono si quieres una bóveda de equipo centrada en la privacidad y prefieres un stack amigable con Berlín.
Elige Padloc si quieres la interfaz de usuario de código abierto más pulida en la categoría.
Elige KeePassXC si quieres la bóveda completamente fuera de cualquier servicio de red y estás dispuesto a manejar la sincronización por tu cuenta.
Elige Pass si ya usas GPG y Git y quieres una bóveda que encaje en ellos.
FAQ
¿Es seguro Vaultwarden?
Vaultwarden es una reescritura en Rust de la API del servidor de Bitwarden y utiliza el mismo cifrado del lado del cliente que Bitwarden. Los clientes de Bitwarden (móvil, escritorio, navegador) cifran antes de que nada abandone el dispositivo, por lo que el servidor solo mantiene blobs cifrados. El fork es ampliamente auditado por la comunidad autohospedada.
¿Puedo cambiar de LastPass a un gestor de contraseñas autohospedado?
Sí. Exporta tu bóveda de LastPass a CSV, importa al objetivo autohospedado. Vaultwarden, Bitwarden Self-Hosted, Passbolt y Psono aceptan el CSV de LastPass directamente a través de sus bóvedas web.
¿Cuál es el gestor de contraseñas autohospedado más fácil de configurar?
Vaultwarden a través de Docker Compose es el más fácil. Un contenedor, un proxy inverso, un registro DNS, y los clientes oficiales de Bitwarden funcionan sin configuración adicional.
¿Necesito un nombre de dominio para autohospedar un gestor de contraseñas?
Un nombre de dominio hace que TLS sea más fácil y es el camino recomendado, pero un certificado autofirmado en una dirección solo de LAN funciona para uso personal. Los clientes móviles de Bitwarden requieren HTTPS válido para conectarse, por lo que un certificado Let’s Encrypt gratuito a través de un proxy inverso es la respuesta habitual.
¿Qué gestor de contraseñas autohospedado admite passkeys?
Vaultwarden y Bitwarden Self-Hosted admiten passkeys a través de la experiencia del cliente Bitwarden. Padloc admite passkeys de forma nativa. Passbolt tiene soporte para passkeys en la hoja de ruta a partir de mediados de 2026.