Mejores aplicaciones para proxy inverso autohospedado en escritorio en 2026 (7 probadas)

El artículo de XDA sobre alquilar un VPS para evitar CGNAT llega en un momento en el que los proxies inversos autohospedados se han convertido en una capa de infraestructura de uso doméstico. La premisa es la misma si el proxy se ejecuta en un NAS, un mini PC antiguo o un puente VPS de $5: el tráfico entra en el puerto 443, se ordena por nombre de host y llega al servicio interno correcto. Los dos grandes cambios desde 2020 son lo fácil que se ha vuelto el HTTPS automático (Let’s Encrypt más el ecosistema Caddy/NGINX/Traefik hizo que los certificados fueran un no-evento) y cuánto creció la audiencia. Los hogares que ejecutan Jellyfin, Vaultwarden, Home Assistant e Immich necesitan esta capa.

Probamos 7 de las mejores aplicaciones para proxy inverso autohospedado en escritorio en 2026, cubriendo Linux, Windows y macOS. El benchmark fue específico: instalar en una caja Debian limpia, enrutar tres servicios a través de HTTPS con certificados que se renuevan automáticamente y sobrevivir a un reinicio. Las 7 que se muestran a continuación califican todas.

Qué buscar en un proxy inverso autohospedado

Los criterios que separan la pila funcional de un año de dolores de cabeza YAML:

Comparación rápida

AplicaciónMejor paraEstilo de configuraciónHTTPS automáticoPrecio inicial
NGINX Proxy ManagerGUI amigable para principiantesIU web sobre NGINXSí, incorporadoGratuito
CaddyHTTPS automático por defectoCaddyfile (simple)Sí, predeterminadoGratuito
TraefikEnrutamiento dinámico nativo de DockerYAML / etiquetasSí, ACMEGratuito, existe nivel Enterprise
NGINXRendimiento clásico puronginx.confManual (Certbot, acme.sh)Gratuito, Plus desde $2.500/año
HAProxyEquilibrio de carga + proxyhaproxy.cfgManual o complementos LuaGratuito, existe nivel Enterprise
SWAGNGINX + preconfiguración Let’s EncryptConfiguraciones NGINX en DockerSí, certbotGratuito
PangolinTúnel autohospedado + proxyIU webGratuito

Las 7 mejores aplicaciones para un proxy inverso autohospedado

1. NGINX Proxy Manager, la mejor IU amigable para principiantes

NGINX Proxy Manager envuelve NGINX en una IU web que convierte “añadir un dominio, apuntarlo a este servicio interno, obtener un certificado Let’s Encrypt” en una operación de tres campos de formulario. Se ejecuta como un único contenedor Docker con un backend SQLite o MySQL. Cada host de proxy es una fila en la base de datos; la IU genera la configuración NGINX detrás de escenas. NGINX Proxy Manager para proxy inverso autohospedado en 2026 es la opción correcta para el autohospedador doméstico que desea HTTPS para Jellyfin y Vaultwarden sin aprender primero la sintaxis NGINX.

Donde queda corto: La IU web oculta la configuración NGINX subyacente, lo cual está bien hasta que necesitas una característica que la IU no expone. Los usuarios avanzados tienden a graduarse a NGINX puro o Caddy. La instalación predeterminada no habilita HTTP/3 de inmediato.

Precios:

Conclusión: La opción de inicio. Si este es tu primer proxy inverso, instala NGINX Proxy Manager y no mires atrás hasta que algo específico te empuje.

2. Caddy, lo mejor para HTTPS automático por defecto

Caddy es el servidor web y proxy inverso moderno con HTTPS automático como comportamiento predeterminado en lugar de opcional. Un Caddyfile de tres líneas configura un proxy inverso con un certificado Let’s Encrypt, HTTP/2, HTTP/3 e HSTS. La versión 2.8 en 2024 afiló el apretón de manos TLS bajo demanda; la serie 2.9 trajo transporte HTTP/3 refinado. Caddy para proxy inverso autohospedado en 2026 es la opción correcta cuando el lenguaje de configuración es tan importante como el tiempo de ejecución.

Donde queda corto: El ecosistema de complementos de Caddy no es tan profundo como el de NGINX. Algunos enrutamientos avanzados (geo-IP, reescrituras complejas) necesitan xcaddy para compilar complementos, que es un pequeño paso pero un paso.

Precios:

Conclusión: La opción cuando quieres un archivo de configuración que seguirás leyendo claramente en dos años.

3. Traefik, lo mejor para enrutamiento dinámico nativo de Docker

Traefik es el proxy inverso construido para la era de los contenedores. Apunta Traefik a un daemon de Docker, añade etiquetas a tus contenedores de servicio, y Traefik los descubre, genera rutas y provisiona certificados Let’s Encrypt automáticamente. El mismo modelo funciona para Kubernetes (Ingress), Consul y ECS. Traefik vs NGINX para proxy inverso autohospedado en 2026: Traefik gana en descubrimiento automático de servicios en hogares con Docker; NGINX gana en rendimiento puro y configurabilidad.

Donde queda corto: El modelo de configuración requiere sentarse con la documentación. YAML, proveedores de archivos, proveedores dinámicos basados en etiquetas y la división config estático-vs-dinámico todo necesita entendimiento antes de que las cosas hagan clic. El panel web es de solo lectura.

Precios:

Conclusión: Elige esto cuando tu pila es principalmente Docker y quieres que el proxy rastree servicios automáticamente.

4. NGINX, lo mejor para rendimiento clásico puro

NGINX es el proxy inverso que ha ejecutado la web pública durante dos décadas. La configuración es nginx.conf y un árbol de directorio de bloques de servidor. El HTTPS automático viene a través de Certbot o acme.sh, una configuración única, entonces se renueva silenciosamente. NGINX se escala a volúmenes de tráfico que un hogar nunca verá, y la documentación es la más exhaustiva en la categoría. NGINX vs Caddy en 2026: NGINX gana en profundidad del ecosistema, Caddy gana en tiempo para el primer HTTPS.

Donde queda corto: Configuración manual de certificados. El lenguaje nginx.conf es su propio dialecto. Los errores en un bloque de servidor impiden que NGINX se inicie, lo cual cuesta unos pocos minutos la primera vez que cometes uno.

Precios:

Conclusión: Elige esto cuando el proxy necesita vivir una década con la misma configuración y no te importa aprender la sintaxis.

5. HAProxy, lo mejor para equilibrio de carga + proxy

HAProxy ha sido el equilibrador de carga de facto para despliegues de alto tráfico desde 2002 y se desempeña admirablemente como proxy inverso. La versión 3.0 LTS en 2024 añadió una pila SSL actualizada y manejo mejorado de HTTP/3. Los guiones Lua y las Stick Tables te permiten construir características que otros proxies requieren servicios externos. HAProxy para proxy inverso autohospedado en 2026 es la opción correcta cuando el hogar ejecuta múltiples instancias del mismo servicio y el proxy necesita equilibrar entre ellas.

Donde queda corto: El HTTPS automático es manual o a través de complementos Lua, no incorporado. La sintaxis de configuración es su propio lenguaje. La mayoría de los autohospedadores no necesitan la profundidad de equilibrio de carga de HAProxy.

Precios:

Conclusión: Elige esto cuando tengas múltiples instancias de un servicio que necesiten equilibrio. De lo contrario, NGINX o Caddy es la respuesta más simple.

6. SWAG, lo mejor para NGINX + preconfiguración Let’s Encrypt

SWAG (Secure Web Application Gateway) es la imagen Docker preconfigurada de LinuxServer.io que agrupa NGINX con Certbot, un sistema de plantillas y un directorio de ejemplos de bloques de servidor mantenidos por la comunidad para servicios autohospedados populares. Ejecuta el contenedor, apunta a tu dominio, copia el ejemplo correcto en la configuración activa y tienes HTTPS para Jellyfin, Nextcloud, Vaultwarden o lo que sea en menos de una hora. SWAG vs NGINX Proxy Manager en 2026: SWAG expone las configuraciones NGINX puras, NGINX Proxy Manager las oculta detrás de una IU.

Donde queda corto: Editar configuraciones NGINX a mano. La comunidad de LinuxServer es famosamente útil pero la documentación asume cierta familiaridad con Docker. La imagen agrupa mucho, DuckDNS, fail2ban, integración Authelia, que puedes o no querer.

Precios:

Conclusión: Elige esto cuando quieras la flexibilidad de NGINX y un directorio de configuraciones preescritas para servicios autohospedados populares.

7. Pangolin, lo mejor para túnel autohospedado + proxy inverso

Pangolin es la respuesta autohospedada más nueva a Cloudflare Tunnel: un proxy inverso que se ejecuta en un VPS de $5, un túnel WireGuard que conecta tu red doméstica de vuelta a él, y una IU web para gestionar rutas. La versión 1.0 de 2025 añadió SSO con Authelia/Authentik, una API para usuarios de IaC y monitoreo mejorado. Pangolin para proxy inverso autohospedado en 2026 es la opción correcta cuando la conexión doméstica está detrás de CGNAT y quieres que todo sea autohospedado, incluyendo el túnel.

Donde queda corto: Comunidad más pequeña que los otros seis. La arquitectura (VPS + túnel + proxy doméstico) tiene más piezas móviles que un único contenedor NGINX. Algunas características NGINX avanzadas tardan más en llegar.

Precios:

Conclusión: Elige esto cuando CGNAT es el problema real y no quieres depender de Cloudflare para el salto de túnel.

Cómo elegir el correcto

Una pila funcional 2026 para un hogar vinculado a CGNAT es Pangolin en un VPS de $5 con Caddy o NGINX Proxy Manager detrás, servicios expuestos solo sobre Tailscale, y un túnel Wireguard manteniendo la red doméstica conectada. Ninguno de estos son mutuamente excluyentes; los nombres simplemente tienen que jugar su parte.

Preguntas frecuentes

¿Cuál es el proxy inverso más fácil de configurar?

NGINX Proxy Manager. Configuración de tres campos de formulario por host, Let’s Encrypt automático e IU web. Caddy es un segundo cercano si prefieres editar un Caddyfile que hacer clic en un panel de control.

¿Mi conexión doméstica necesita una IP pública?

Para un proxy inverso directamente accesible, sí. Si tu ISP te da una dirección CGNAT (sin IP pública), necesitas un túnel, Cloudflare Tunnel, Tailscale Funnel o una configuración Pangolin autohospedada con un VPS pequeño, para exponer servicios. El artículo de XDA este mes recorre exactamente este caso.

¿Cómo maneja Caddy las renovaciones de SSL automáticamente?

Caddy viene con un cliente ACME. La primera vez que se solicita un nombre de host, Caddy llega a Let’s Encrypt (o ZeroSSL o Buypass), prueba la propiedad con un desafío HTTP-01 o TLS-ALPN-01, y almacena el certificado localmente. La renovación ocurre 30 días antes del vencimiento sin intervención.

¿Puedo ejecutar un proxy inverso en una Raspberry Pi?

Sí. Los siete funcionan cómodamente en una Pi 4 o Pi 5. Pangolin, NGINX Proxy Manager y SWAG típicamente se despliegan como contenedores Docker y consumen menos de 200 MB de RAM. NGINX y Caddy también pueden ejecutarse nativamente en Pi OS.

¿Debería usar Cloudflare Tunnel en su lugar?

Cloudflare Tunnel es excelente y gratuito para individuos, pero enruta tu tráfico a través de Cloudflare. Para hogares que prefieren no hacerlo, Pangolin o tu propio salto Wireguard-a-VPS es el equivalente sin Cloudflare en el circuito.

¿Cuál es la diferencia entre un proxy inverso y un equilibrador de carga?

Un proxy inverso se sienta delante de uno o más servicios backend y reenvía solicitudes basadas en nombre de host o ruta. Un equilibrador de carga específicamente distribuye solicitudes entre múltiples instancias del mismo servicio. HAProxy y NGINX pueden ser ambos; NGINX Proxy Manager y Caddy son principalmente proxies inversos con características básicas de equilibrio de carga.