Vaultwarden

El artículo de XDA sobre migrar contraseñas, 2FA y passkeys a Vaultwarden recae en una tendencia de auto-hospedaje que sigue ganando terreno: un minúsculo servidor Rust, compatible con cada cliente Bitwarden, ejecutándose en una Raspberry Pi o un antiguo NUC en un rincón. Vaultwarden es la respuesta correcta para muchos hogares. No es la respuesta correcta para todos. El servidor oficial de Bitwarden es más pesado pero incluye las características que los administradores de equipo realmente necesitan. Passbolt y Psono se dirigen a empresas que quieren auditoría y permisos de grupo. KeePassXC evita completamente la cuestión del servidor.

Probamos 7 alternativas a Vaultwarden en escritorio y las clasificamos según los mismos criterios: tiempo de configuración en una instalación limpia de Debian, procedimiento de restauración desde copia de seguridad, compatibilidad de clientes, compartición en grupo y la fricción del uso diario que determina si el hogar realmente la adopta.

Comparación rápida

AplicaciónMejor paraPlan gratuitoPrecio inicialCaracterística destacada
Bitwarden Self-HostedStack oficial y completaSí, totalmente en-premGratuito, org de pago desde 3 €/usuario/mesMismo código que el producto en la nube
KeePassXCBóveda local, basada en archivosSí, totalmenteGratuitoNingún servidor para ejecutar
PassboltCompartición de contraseñas en equipoCommunity Edition, totalmente gratuitaPro desde 49 €/mes por 10 usuariosEncriptación de extremo a extremo basada en GPG
PsonoAuto-hospedaje empresarialCommunity Edition, totalmente gratuitaEnterprise desde 3 €/usuario/mesLDAP, SAML, roles granulares
PadlocIU moderna ligeraSí, solo en-premGratuitoInforme de seguridad integrado y comprobaciones de brechas
PassMinimalismo al estilo UnixSí, totalmenteGratuitoUn directorio de archivos de contraseñas encriptados con GPG
TeampassBóveda de equipo basada en navegadorSí, totalmenteGratuitoPermisos por carpeta y árbol de roles

Por qué la gente abandona Vaultwarden

Tres razones aparecen constantemente en r/selfhosted y los problemas de GitHub de Vaultwarden:

Ninguno de estos son puntos de ruptura para un hogar. Todos importan para una empresa de 50 personas.

Las 7 alternativas a Vaultwarden

1. Bitwarden Self-Hosted, mejor para el stack oficial

Bitwarden incluye el mismo software que ejecuta en la nube como paquete auto-hospedado. El despliegue completo ejecuta once contenedores (API, identidad, bóveda web, adjuntos, administrador, MSSQL y similares) y usa un poco más de memoria que Vaultwarden, pero cada característica llega aquí primero: sincronización de passkeys, SSO con conector de clave, sincronización de directorios, SCIM, el motor de políticas y el nuevo panel de administración. El almacenamiento se ejecuta contra Microsoft SQL Server de forma predeterminada, con una compilación compatible con PostgreSQL emergiendo en 2025. Bitwarden vs Vaultwarden en 2026: los mismos clientes, huella trasera muy diferente.

Dónde falla: Presión de memoria y disco en máquinas virtuales pequeñas. Una instancia de dos vCPU y 2 GB que ejecuta Vaultwarden cómodamente tendrá dificultades con el stack completo de Bitwarden y una base de datos.

Precios:

Migración desde Vaultwarden: Exportar cada bóveda a JSON encriptado desde la interfaz web, importar en Bitwarden. La estructura de carpetas y adjuntos se transfieren limpiamente. La migración de org requiere reinvitar miembros y recompartir colecciones manualmente. Permite una noche para un hogar, un fin de semana para un equipo de 20 personas.

Descargar: Bitwarden Self-Hosting

Resumen: Elige esto cuando el hogar haya crecido hacia un equipo y necesites características que Vaultwarden aún no haya fusionado.

2. KeePassXC, mejor para la opción sin servidor

KeePassXC es la rama multiplataforma de KeePass que se ejecuta en cada escritorio sin servidor en absoluto. La bóveda es un único archivo .kdbx que sincronizas con lo que ya uses, Syncthing, Nextcloud, iCloud, OneDrive o una memoria USB. Soporta passkeys (añadido en 2.7.x), integración de navegador a través de KeePassXC-Browser, TOTP, adjuntos e integración de agente SSH. KeePassXC vs Vaultwarden en 2026: filosofías opuestas. Vaultwarden ejecuta un servidor para que múltiples dispositivos permanezcan sincronizados automáticamente. KeePassXC delega la sincronización a lo que ya confías.

Dónde falla: La resolución de conflictos es tu problema. Si dos dispositivos escriben en el mismo archivo de bóveda sin conexión, KeePassXC no los fusionará automáticamente. Mobile también es más débil: KeePass2Android y Strongbox son buenos, pero no son de primera parte.

Precios:

Migración desde Vaultwarden: Exporta Vaultwarden a JSON encriptado, luego convierte con el asistente de importación de KeePassXC. Las carpetas se convierten en grupos, los campos personalizados se transfieren, los adjuntos vienen incluidos. Los passkeys no se migran limpiamente y tienen que volver a registrarse en cada sitio.

Descargar: keepassxc.org

Resumen: Elige esto cuando quieras dejar de ejecutar un servidor y confíes en tu proveedor de sincronización con el archivo encriptado.

3. Passbolt, mejor para compartición en equipo

Passbolt fue construido para equipos desde el primer día. El modelo de amenaza se basa en encriptación de extremo a extremo GPG: cada usuario tiene una clave, las contraseñas compartidas se re-encriptan por destinatario y el servidor nunca ve una credencial en texto plano. La Community Edition es totalmente gratuita, se ejecuta en Debian o Docker e incluye una extensión de navegador e interfaz web usable. Passbolt vs Vaultwarden en 2026: el modelo de permisos de Passbolt es más granular, pero la interfaz es el precio que pagas.

Dónde falla: La interfaz web es más fricción que los clones Bitwarden. Incorporar a un compañero no técnico implica explicar claves GPG, exportar kits de recuperación e importar a una extensión de navegador. Las aplicaciones móviles existen (iOS y Android) pero se quedan atrás de la experiencia de escritorio.

Precios:

Migración desde Vaultwarden: Exporta Vaultwarden a CSV, luego importa a través del importador CSV de Passbolt. Las carpetas se convierten en etiquetas. Las entradas de organización compartidas no se asignan automáticamente al modelo de permisos de Passbolt; espera rehacer la matriz de compartición.

Descargar: passbolt.com/community-downloads

Resumen: Elige esto cuando una pequeña empresa necesita compartición adecuada y está dispuesta a aprender un concepto de GPG.

4. Psono, mejor para auto-hospedaje empresarial

Psono es la opción empresarial construida en Alemania para auto-hospedadores que quieren LDAP, SAML, roles granulares y una revisión de seguridad escrita sin pagar el nivel empresarial de Bitwarden. La Community Edition es código abierto y gratuita para usuarios ilimitados; la compilación Enterprise añade SSO, registro de auditoría y soporte prioritario. Psono vs Vaultwarden en 2026: dirigido a la misma multitud de auto-hospedaje pero pensando en el departamento de TI.

Dónde falla: La Community Edition omite características que los equipos medianos esperan (retención del registro de auditoría, SAML, soporte de módulo de seguridad de hardware). Las extensiones de navegador son competentes pero no tan pulidas como las de Bitwarden.

Precios:

Migración desde Vaultwarden: Exporta Vaultwarden, convierte a través del importador CSV de Psono. La compartición se reorganiza alrededor del modelo de grupo de Psono, que está más cerca de Active Directory que de las colecciones Bitwarden. Planifica un fin de semana si el equipo supera las 25 personas.

Descargar: psono.com

Resumen: Elige esto cuando una empresa necesita LDAP/SAML y el shock del precio de Bitwarden Enterprise es demasiado.

5. Padloc, mejor para una interfaz moderna y ligera

Padloc es la respuesta para auto-hospedadores que les gustaba el pequeño tamaño de Vaultwarden pero querían una interfaz más pulida. Se ejecuta en un único proceso Node.js, se comunica por WebSocket para sincronización en tiempo real e incluye bóveda web, extensión de navegador y aplicaciones móviles. El nivel gratuito cubre todo lo que un individuo o pequeña familia necesita. Padloc vs Vaultwarden en 2026: presupuesto de recursos similar, interfaz más moderna, ecosistema más pequeño.

Dónde falla: La comunidad alrededor de Padloc es más pequeña que la de Vaultwarden, así que las herramientas de terceros (CLI, ayudantes de sincronización, páginas de estado) son más delgadas. Las características empresariales son mínimas.

Precios:

Migración desde Vaultwarden: Padloc importa directamente la exportación CSV de Bitwarden. Las carpetas y elementos básicos se transfieren. Los tipos de campos personalizados y adjuntos necesitan un paso manual.

Descargar: padloc.app

Resumen: Elige esto cuando la interfaz importa más que la lista de características y no necesitas controles a nivel de org.

6. Pass (el gestor de contraseñas Unix estándar), mejor para usuarios enfocados en terminal

Pass almacena cada contraseña en un archivo encriptado con GPG dentro de un repositorio Git. Ese es todo el producto. No hay GUI, no hay bóveda web, no hay servidor: un shell de desarrollador, una clave GPG y un repositorio Git remoto son toda la pila. Los complementos lo extienden con TOTP, auto-relleno de navegador (browserpass) y clientes Android/iOS. Pass vs Vaultwarden en 2026: minimalista al máximo, portátil al máximo, sin asistencia de GUI.

Dónde falla: No es una opción para nadie que no esté cómodo en una terminal. Compartir requiere enseñar a cada destinatario cómo importar una clave GPG. Los miembros de la familia no van a usarlo.

Precios:

Migración desde Vaultwarden: Un script comunitario lee la exportación JSON encriptada de Bitwarden y escribe un archivo .gpg por entrada. La estructura de carpetas se convierte en jerarquía de directorios. Los adjuntos no se transfieren.

Descargar: passwordstore.org

Resumen: Elige esto cuando vivas en la terminal y tu gestor de contraseñas no necesite una interfaz.

7. Teampass, mejor para carpetas de equipo basadas en navegador

Teampass es el gestor de contraseñas auto-hospedado PHP/MySQL de larga duración para organizaciones que quieren una interfaz solo de navegador con permisos por carpeta. Predata los clones Bitwarden en varios años y sigue siendo una opción sensata para equipos que tienen una pila LAMP y no quieren añadir otro tiempo de ejecución. Teampass vs Vaultwarden en 2026: una estética diferente, pero el árbol de permisos es más difícil de superar.

Dónde falla: La interfaz está anticuada y carece de las características (soporte de passkeys, aplicaciones móviles tan pulidas como las de Bitwarden) que ofrecen alternativas más nuevas. La base de código es PHP, que algunos equipos ven como una compensación de seguridad.

Precios:

Migración desde Vaultwarden: Exporta Vaultwarden a CSV, luego ejecuta la importación de Teampass. La jerarquía de carpetas se asigna casi directamente. La compartición por colección tiene que ser remodelada como roles de Teampass.

Descargar: teampass.net

Resumen: Elige esto cuando una pequeña organización ya ejecuta LAMP y quiere un gestor de contraseñas solo de navegador.

Cómo elegir

Preguntas frecuentes

¿Es el servidor oficial de Bitwarden mejor que Vaultwarden?

El servidor oficial de Bitwarden es más completo y más conservador. Incluye todas las características primero, soporta todas las integraciones empresariales y ejecuta el mismo código que Bitwarden aloja en producción. Vaultwarden es más ligero, se ejecuta en una cuarta parte del hardware y es adecuado para un hogar. La opción correcta depende de si necesitas la superficie de características empresariales o solo una bóveda personal.

¿Puedo ejecutar un gestor de contraseñas auto-hospedado en una Raspberry Pi?

Sí para Vaultwarden, KeePassXC (solo archivo, sin servidor), Padloc y Pass. Bitwarden Self-Hosted se ejecutará en una Raspberry Pi 4 con 4 GB de RAM pero sentirás la base de datos bajo carga. Psono y Passbolt se sitúan en algún punto intermedio.

¿Cuál es el gestor de contraseñas auto-hospedado más seguro?

Los siete proyectos utilizan encriptación auditada en reposo. El modelo de amenaza que varía es el servidor: KeePassXC y Pass nunca tienen un servidor de texto plano, mientras que Vaultwarden, Bitwarden, Padloc, Psono y Passbolt se basan en claves derivadas de contraseña maestra que nunca abandonan el cliente. La re-encriptación GPG por destinatario de Passbolt es el modelo más paranoico cuando las credenciales compartidas son la amenaza.

¿Funcionarán mis clientes Bitwarden con estas alternativas?

Los clientes oficiales de Bitwarden funcionan con Bitwarden Self-Hosted, Vaultwarden y (a través del modo API) Padloc. No funcionan con KeePassXC, Pass, Passbolt, Psono o Teampass, cada uno de esos incluye sus propios clientes.

¿Cómo migro desde Vaultwarden sin perder códigos 2FA?

Exporta Vaultwarden a JSON encriptado, luego importa en el destino. Los secretos TOTP viajan como parte de la entrada, así que los códigos 2FA existentes siguen funcionando en la nueva bóveda. Los passkeys están vinculados al origen y tienen que volver a registrarse en cada sitio, independientemente de a qué bóveda te mudes.

¿Cuál es la alternativa a Vaultwarden más barata?

Cada alternativa en esta lista tiene un nivel totalmente gratuito y completo para auto-hospedaje. KeePassXC y Pass tienen el costo de ejecución más bajo porque no necesitan un servidor en absoluto.