El artículo de XDA sobre migrar contraseñas, 2FA y passkeys a Vaultwarden recae en una tendencia de auto-hospedaje que sigue ganando terreno: un minúsculo servidor Rust, compatible con cada cliente Bitwarden, ejecutándose en una Raspberry Pi o un antiguo NUC en un rincón. Vaultwarden es la respuesta correcta para muchos hogares. No es la respuesta correcta para todos. El servidor oficial de Bitwarden es más pesado pero incluye las características que los administradores de equipo realmente necesitan. Passbolt y Psono se dirigen a empresas que quieren auditoría y permisos de grupo. KeePassXC evita completamente la cuestión del servidor.
Probamos 7 alternativas a Vaultwarden en escritorio y las clasificamos según los mismos criterios: tiempo de configuración en una instalación limpia de Debian, procedimiento de restauración desde copia de seguridad, compatibilidad de clientes, compartición en grupo y la fricción del uso diario que determina si el hogar realmente la adopta.
Comparación rápida
| Aplicación | Mejor para | Plan gratuito | Precio inicial | Característica destacada |
|---|---|---|---|---|
| Bitwarden Self-Hosted | Stack oficial y completa | Sí, totalmente en-prem | Gratuito, org de pago desde 3 €/usuario/mes | Mismo código que el producto en la nube |
| KeePassXC | Bóveda local, basada en archivos | Sí, totalmente | Gratuito | Ningún servidor para ejecutar |
| Passbolt | Compartición de contraseñas en equipo | Community Edition, totalmente gratuita | Pro desde 49 €/mes por 10 usuarios | Encriptación de extremo a extremo basada en GPG |
| Psono | Auto-hospedaje empresarial | Community Edition, totalmente gratuita | Enterprise desde 3 €/usuario/mes | LDAP, SAML, roles granulares |
| Padloc | IU moderna ligera | Sí, solo en-prem | Gratuito | Informe de seguridad integrado y comprobaciones de brechas |
| Pass | Minimalismo al estilo Unix | Sí, totalmente | Gratuito | Un directorio de archivos de contraseñas encriptados con GPG |
| Teampass | Bóveda de equipo basada en navegador | Sí, totalmente | Gratuito | Permisos por carpeta y árbol de roles |
Por qué la gente abandona Vaultwarden
Tres razones aparecen constantemente en r/selfhosted y los problemas de GitHub de Vaultwarden:
- El mantenedor es una sola persona. Daniel García ha llevado el proyecto durante años. Muchos auto-hospedadores se preocupan por el factor de autobús y quieren un proyecto con un equipo pagado detrás.
- Las características empresariales de Bitwarden llegan a Vaultwarden tarde, o nunca. La sincronización de directorios, SCIM, SSO con conector de clave y el motor de políticas llegan primero al servidor oficial. La rama de Vaultwarden se va rezagando.
- Es no oficial. Vaultwarden incluye un backend reimplementado que imita la API de Bitwarden. La mayoría de las veces funciona. Ocasionalmente una nueva característica en el cliente Bitwarden rompe el protocolo y Vaultwarden tiene que parchear alrededor.
Ninguno de estos son puntos de ruptura para un hogar. Todos importan para una empresa de 50 personas.
Las 7 alternativas a Vaultwarden
1. Bitwarden Self-Hosted, mejor para el stack oficial
Bitwarden incluye el mismo software que ejecuta en la nube como paquete auto-hospedado. El despliegue completo ejecuta once contenedores (API, identidad, bóveda web, adjuntos, administrador, MSSQL y similares) y usa un poco más de memoria que Vaultwarden, pero cada característica llega aquí primero: sincronización de passkeys, SSO con conector de clave, sincronización de directorios, SCIM, el motor de políticas y el nuevo panel de administración. El almacenamiento se ejecuta contra Microsoft SQL Server de forma predeterminada, con una compilación compatible con PostgreSQL emergiendo en 2025. Bitwarden vs Vaultwarden en 2026: los mismos clientes, huella trasera muy diferente.
Dónde falla: Presión de memoria y disco en máquinas virtuales pequeñas. Una instancia de dos vCPU y 2 GB que ejecuta Vaultwarden cómodamente tendrá dificultades con el stack completo de Bitwarden y una base de datos.
Precios:
- Gratuito: Todas las características auto-hospedadas para uso personal, dispositivos ilimitados
- De pago: Teams Starter por 20 €/mes para 10 usuarios, Enterprise auto-hospedado desde 5 €/usuario/mes
- vs Vaultwarden: Gratuito para uso personal de cualquier forma. Bitwarden cobra solo cuando necesitas características de org que la rama de Vaultwarden aún no ha incluido.
Migración desde Vaultwarden: Exportar cada bóveda a JSON encriptado desde la interfaz web, importar en Bitwarden. La estructura de carpetas y adjuntos se transfieren limpiamente. La migración de org requiere reinvitar miembros y recompartir colecciones manualmente. Permite una noche para un hogar, un fin de semana para un equipo de 20 personas.
Descargar: Bitwarden Self-Hosting
Resumen: Elige esto cuando el hogar haya crecido hacia un equipo y necesites características que Vaultwarden aún no haya fusionado.
2. KeePassXC, mejor para la opción sin servidor
KeePassXC es la rama multiplataforma de KeePass que se ejecuta en cada escritorio sin servidor en absoluto. La bóveda es un único archivo .kdbx que sincronizas con lo que ya uses, Syncthing, Nextcloud, iCloud, OneDrive o una memoria USB. Soporta passkeys (añadido en 2.7.x), integración de navegador a través de KeePassXC-Browser, TOTP, adjuntos e integración de agente SSH. KeePassXC vs Vaultwarden en 2026: filosofías opuestas. Vaultwarden ejecuta un servidor para que múltiples dispositivos permanezcan sincronizados automáticamente. KeePassXC delega la sincronización a lo que ya confías.
Dónde falla: La resolución de conflictos es tu problema. Si dos dispositivos escriben en el mismo archivo de bóveda sin conexión, KeePassXC no los fusionará automáticamente. Mobile también es más débil: KeePass2Android y Strongbox son buenos, pero no son de primera parte.
Precios:
- Gratuito: Todo, sin planes, sin telemetría
- De pago: Ninguno
- vs Vaultwarden: Ambos gratuitos. KeePassXC te ahorra el costo de ejecutar un servidor.
Migración desde Vaultwarden: Exporta Vaultwarden a JSON encriptado, luego convierte con el asistente de importación de KeePassXC. Las carpetas se convierten en grupos, los campos personalizados se transfieren, los adjuntos vienen incluidos. Los passkeys no se migran limpiamente y tienen que volver a registrarse en cada sitio.
Descargar: keepassxc.org
Resumen: Elige esto cuando quieras dejar de ejecutar un servidor y confíes en tu proveedor de sincronización con el archivo encriptado.
3. Passbolt, mejor para compartición en equipo
Passbolt fue construido para equipos desde el primer día. El modelo de amenaza se basa en encriptación de extremo a extremo GPG: cada usuario tiene una clave, las contraseñas compartidas se re-encriptan por destinatario y el servidor nunca ve una credencial en texto plano. La Community Edition es totalmente gratuita, se ejecuta en Debian o Docker e incluye una extensión de navegador e interfaz web usable. Passbolt vs Vaultwarden en 2026: el modelo de permisos de Passbolt es más granular, pero la interfaz es el precio que pagas.
Dónde falla: La interfaz web es más fricción que los clones Bitwarden. Incorporar a un compañero no técnico implica explicar claves GPG, exportar kits de recuperación e importar a una extensión de navegador. Las aplicaciones móviles existen (iOS y Android) pero se quedan atrás de la experiencia de escritorio.
Precios:
- Gratuito: Community Edition, usuarios ilimitados, todas las características de compartición
- De pago: Pro desde 49 €/mes por 10 usuarios, Pro alojado en la nube desde 5 €/usuario/mes
- vs Vaultwarden: Ambos gratuitos para auto-hospedaje. El nivel de pago de Passbolt añade registros de auditoría, SSO y sincronización de directorios.
Migración desde Vaultwarden: Exporta Vaultwarden a CSV, luego importa a través del importador CSV de Passbolt. Las carpetas se convierten en etiquetas. Las entradas de organización compartidas no se asignan automáticamente al modelo de permisos de Passbolt; espera rehacer la matriz de compartición.
Descargar: passbolt.com/community-downloads
Resumen: Elige esto cuando una pequeña empresa necesita compartición adecuada y está dispuesta a aprender un concepto de GPG.
4. Psono, mejor para auto-hospedaje empresarial
Psono es la opción empresarial construida en Alemania para auto-hospedadores que quieren LDAP, SAML, roles granulares y una revisión de seguridad escrita sin pagar el nivel empresarial de Bitwarden. La Community Edition es código abierto y gratuita para usuarios ilimitados; la compilación Enterprise añade SSO, registro de auditoría y soporte prioritario. Psono vs Vaultwarden en 2026: dirigido a la misma multitud de auto-hospedaje pero pensando en el departamento de TI.
Dónde falla: La Community Edition omite características que los equipos medianos esperan (retención del registro de auditoría, SAML, soporte de módulo de seguridad de hardware). Las extensiones de navegador son competentes pero no tan pulidas como las de Bitwarden.
Precios:
- Gratuito: Community Edition, usuarios ilimitados
- De pago: Enterprise Server desde 3 €/usuario/mes, plan SaaS desde 1,50 €/usuario/mes
- vs Vaultwarden: Gratuito si permaneces en Community Edition. El nivel empresarial tiene un precio similar al de Bitwarden Teams.
Migración desde Vaultwarden: Exporta Vaultwarden, convierte a través del importador CSV de Psono. La compartición se reorganiza alrededor del modelo de grupo de Psono, que está más cerca de Active Directory que de las colecciones Bitwarden. Planifica un fin de semana si el equipo supera las 25 personas.
Descargar: psono.com
Resumen: Elige esto cuando una empresa necesita LDAP/SAML y el shock del precio de Bitwarden Enterprise es demasiado.
5. Padloc, mejor para una interfaz moderna y ligera
Padloc es la respuesta para auto-hospedadores que les gustaba el pequeño tamaño de Vaultwarden pero querían una interfaz más pulida. Se ejecuta en un único proceso Node.js, se comunica por WebSocket para sincronización en tiempo real e incluye bóveda web, extensión de navegador y aplicaciones móviles. El nivel gratuito cubre todo lo que un individuo o pequeña familia necesita. Padloc vs Vaultwarden en 2026: presupuesto de recursos similar, interfaz más moderna, ecosistema más pequeño.
Dónde falla: La comunidad alrededor de Padloc es más pequeña que la de Vaultwarden, así que las herramientas de terceros (CLI, ayudantes de sincronización, páginas de estado) son más delgadas. Las características empresariales son mínimas.
Precios:
- Gratuito: Auto-hospedado con todas las características personales
- De pago: Plan familiar 35 €/año, Business desde 5 €/usuario/mes (alojado)
- vs Vaultwarden: Ambos gratuitos para auto-hospedaje personal. Los niveles de pago de Padloc se dirigen a personas que quieren que la empresa lo aloje.
Migración desde Vaultwarden: Padloc importa directamente la exportación CSV de Bitwarden. Las carpetas y elementos básicos se transfieren. Los tipos de campos personalizados y adjuntos necesitan un paso manual.
Descargar: padloc.app
Resumen: Elige esto cuando la interfaz importa más que la lista de características y no necesitas controles a nivel de org.
6. Pass (el gestor de contraseñas Unix estándar), mejor para usuarios enfocados en terminal
Pass almacena cada contraseña en un archivo encriptado con GPG dentro de un repositorio Git. Ese es todo el producto. No hay GUI, no hay bóveda web, no hay servidor: un shell de desarrollador, una clave GPG y un repositorio Git remoto son toda la pila. Los complementos lo extienden con TOTP, auto-relleno de navegador (browserpass) y clientes Android/iOS. Pass vs Vaultwarden en 2026: minimalista al máximo, portátil al máximo, sin asistencia de GUI.
Dónde falla: No es una opción para nadie que no esté cómodo en una terminal. Compartir requiere enseñar a cada destinatario cómo importar una clave GPG. Los miembros de la familia no van a usarlo.
Precios:
- Gratuito: Sí, GPL2
- De pago: Ninguno
- vs Vaultwarden: Ambos gratuitos. Pass reemplaza todo el servidor con un Git remoto.
Migración desde Vaultwarden: Un script comunitario lee la exportación JSON encriptada de Bitwarden y escribe un archivo .gpg por entrada. La estructura de carpetas se convierte en jerarquía de directorios. Los adjuntos no se transfieren.
Descargar: passwordstore.org
Resumen: Elige esto cuando vivas en la terminal y tu gestor de contraseñas no necesite una interfaz.
7. Teampass, mejor para carpetas de equipo basadas en navegador
Teampass es el gestor de contraseñas auto-hospedado PHP/MySQL de larga duración para organizaciones que quieren una interfaz solo de navegador con permisos por carpeta. Predata los clones Bitwarden en varios años y sigue siendo una opción sensata para equipos que tienen una pila LAMP y no quieren añadir otro tiempo de ejecución. Teampass vs Vaultwarden en 2026: una estética diferente, pero el árbol de permisos es más difícil de superar.
Dónde falla: La interfaz está anticuada y carece de las características (soporte de passkeys, aplicaciones móviles tan pulidas como las de Bitwarden) que ofrecen alternativas más nuevas. La base de código es PHP, que algunos equipos ven como una compensación de seguridad.
Precios:
- Gratuito: Sí, código abierto bajo GPL
- De pago: Ninguno
- vs Vaultwarden: Ambos gratuitos. Teampass escala la compartición de manera diferente, un árbol de permisos en lugar de colecciones.
Migración desde Vaultwarden: Exporta Vaultwarden a CSV, luego ejecuta la importación de Teampass. La jerarquía de carpetas se asigna casi directamente. La compartición por colección tiene que ser remodelada como roles de Teampass.
Descargar: teampass.net
Resumen: Elige esto cuando una pequeña organización ya ejecuta LAMP y quiere un gestor de contraseñas solo de navegador.
Cómo elegir
- Elige Bitwarden Self-Hosted si necesitas todas las características que Vaultwarden aún no ha fusionado y tienes los recursos para ejecutar el stack completo.
- Elige KeePassXC si ejecutar un servidor es lo que estás intentando evitar.
- Elige Passbolt si eres un equipo de 5–30 personas que quiere compartición adecuada y puede absorber un concepto de GPG.
- Elige Psono si el departamento de TI necesita LDAP, SAML o registros de auditoría sin el precio de Bitwarden Enterprise.
- Elige Padloc si quieres un tamaño similar a Vaultwarden con una interfaz más moderna.
- Elige Pass si eres un desarrollador y el resto del hogar usa un sistema diferente.
- Elige Teampass si el equipo ya ejecuta LAMP y no quiere añadir otro stack.
- Permanece en Vaultwarden si eres un hogar, la fricción del uso diario es lo que te importa y la preocupación por el factor de autobús no te mantiene despierto por la noche.
Preguntas frecuentes
¿Es el servidor oficial de Bitwarden mejor que Vaultwarden?
El servidor oficial de Bitwarden es más completo y más conservador. Incluye todas las características primero, soporta todas las integraciones empresariales y ejecuta el mismo código que Bitwarden aloja en producción. Vaultwarden es más ligero, se ejecuta en una cuarta parte del hardware y es adecuado para un hogar. La opción correcta depende de si necesitas la superficie de características empresariales o solo una bóveda personal.
¿Puedo ejecutar un gestor de contraseñas auto-hospedado en una Raspberry Pi?
Sí para Vaultwarden, KeePassXC (solo archivo, sin servidor), Padloc y Pass. Bitwarden Self-Hosted se ejecutará en una Raspberry Pi 4 con 4 GB de RAM pero sentirás la base de datos bajo carga. Psono y Passbolt se sitúan en algún punto intermedio.
¿Cuál es el gestor de contraseñas auto-hospedado más seguro?
Los siete proyectos utilizan encriptación auditada en reposo. El modelo de amenaza que varía es el servidor: KeePassXC y Pass nunca tienen un servidor de texto plano, mientras que Vaultwarden, Bitwarden, Padloc, Psono y Passbolt se basan en claves derivadas de contraseña maestra que nunca abandonan el cliente. La re-encriptación GPG por destinatario de Passbolt es el modelo más paranoico cuando las credenciales compartidas son la amenaza.
¿Funcionarán mis clientes Bitwarden con estas alternativas?
Los clientes oficiales de Bitwarden funcionan con Bitwarden Self-Hosted, Vaultwarden y (a través del modo API) Padloc. No funcionan con KeePassXC, Pass, Passbolt, Psono o Teampass, cada uno de esos incluye sus propios clientes.
¿Cómo migro desde Vaultwarden sin perder códigos 2FA?
Exporta Vaultwarden a JSON encriptado, luego importa en el destino. Los secretos TOTP viajan como parte de la entrada, así que los códigos 2FA existentes siguen funcionando en la nueva bóveda. Los passkeys están vinculados al origen y tienen que volver a registrarse en cada sitio, independientemente de a qué bóveda te mudes.
¿Cuál es la alternativa a Vaultwarden más barata?
Cada alternativa en esta lista tiene un nivel totalmente gratuito y completo para auto-hospedaje. KeePassXC y Pass tienen el costo de ejecución más bajo porque no necesitan un servidor en absoluto.