Cómo auto-alojar Vaultwarden: Bitwarden gratis para tu familia

Los administradores de contraseñas se han vuelto esenciales, sin embargo, la mayoría de las personas paga suscripciones mensuales por servicios en la nube como 1Password o LastPass, o peor aún, reutiliza las mismas contraseñas débiles en todas partes. Pero hay una tercera opción: alojar tu propio administrador de contraseñas que es tan bueno como las alternativas de pago, completamente gratis y bajo tu total control.

Presentamos Vaultwarden — un servidor ligero y de código abierto compatible con todos los clientes oficiales de Bitwarden. Te brinda la experiencia completa de Bitwarden (extensiones de navegador, aplicaciones móviles, aplicaciones de escritorio, CLI) mientras almacenas tus contraseñas encriptadas en tu propio hardware. Sin suscripciones, sin dependencia de la nube, sin problemas de confianza.

En esta guía, configuraremos Vaultwarden desde cero utilizando Docker Compose. Al final, tendrás un administrador de contraseñas listo para la familia que no cuesta nada mantener y mantiene tus datos más sensibles exactamente donde pertenecen — contigo.

¿Por qué Vaultwarden?

Antes de sumergirnos en la configuración, entendamos por qué Vaultwarden es la opción preferida para la gestión de contraseñas autoalojadas:

La clave: Vaultwarden implementa la misma API que el servidor oficial de Bitwarden, así que obtienes la misma experiencia de cliente exacta — aplicaciones pulidas, autocompletado sin problemas, compartición segura — sin pagar por el alojamiento en la nube. El servidor oficial de Bitwarden requiere recursos sustanciales (múltiples contenedores, SQL Server), mientras que Vaultwarden funciona felizmente en una Raspberry Pi.

Lo que necesitarás

Los requisitos son mínimos:

• Un servidor — Cualquier máquina Linux, VPS, NAS, o incluso una Raspberry Pi. Vaultwarden utiliza alrededor de 50MB de RAM.
• Docker y Docker Compose — el método de instalación recomendado.
• Un nombre de dominio (recomendado) — para acceso HTTPS. Puedes usar un subdominio gratuito de servicios como DuckDNS si es necesario.
• Alrededor de 10 minutos — en serio, es así de rápido.

Paso 1: Instalar Docker

Si Docker no está instalado, configúralo con el script de conveniencia oficial:

# Instalar Docker
curl -fsSL https://get.docker.com | sh

# Agrega tu usuario al grupo de docker
sudo usermod -aG docker clawdbot

# Cierra sesión y vuelve a iniciar, luego verifica
docker --version
docker compose version

Paso 2: Crear el Directorio de Vaultwarden

Crea un directorio dedicado para tu administrador de contraseñas:

# Crear y entrar en el directorio
mkdir ~/vaultwarden
cd ~/vaultwarden

Paso 3: Crear el Archivo de Docker Compose

Crea un archivo docker-compose.yml:

# Crear el archivo de composición
nano docker-compose.yml

Pega esta configuración:

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    environment:
      DOMAIN: "https://vault.tudominio.com"
      SIGNUPS_ALLOWED: "true"
      ADMIN_TOKEN: "tu-token-admin-seguro-aquí"
      SMTP_HOST: "smtp.gmail.com"
      SMTP_FROM: "[email protected]"
      SMTP_PORT: "587"
      SMTP_SECURITY: "starttls"
      SMTP_USERNAME: "[email protected]"
      SMTP_PASSWORD: "tu-contraseña-de-aplicación"
    volumes:
      - ./vw-data:/data
    ports:
      - "127.0.0.1:8080:80"

Desglosamos las configuraciones clave:

• DOMAIN: Tu URL completa con HTTPS. Esto es necesario para que la bóveda web funcione correctamente.
• SIGNUPS_ALLOWED: Configúralo en "true" inicialmente para crear tu cuenta, luego cámbialo a "false" después de la configuración.
• ADMIN_TOKEN: Un token seguro para acceder al panel de administración. Genera uno con: openssl rand -base64 48
• SMTP_*: Configuraciones de correo electrónico para restablecimiento de contraseña y notificaciones. Opcional pero recomendado.
• Vinculación de puertos: Nos vinculamos solo a 127.0.0.1 — un proxy inverso manejará el acceso externo con HTTPS.

# Generar un token seguro
openssl rand -base64 48

# Ejemplo de salida: kR9h2s8K...cadena-larga-aleatoria...
# Usa esto como tu ADMIN_TOKEN

Paso 4: Configurar HTTPS con Caddy (Recomendado)

Los clientes de Bitwarden requieren HTTPS. La forma más fácil de configurarlo es con Caddy, que maneja certificados SSL automáticamente.

Agrega Caddy a tu docker-compose.yml:

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    environment:
      DOMAIN: "https://vault.tudominio.com"
      SIGNUPS_ALLOWED: "true"
      ADMIN_TOKEN: "tu-token-admin-seguro-aquí"
    volumes:
      - ./vw-data:/data
    networks:
      - vaultwarden

  caddy:
    image: caddy:latest
    container_name: caddy
    restart: unless-stopped
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile:ro
      - ./caddy-data:/data
      - ./caddy-config:/config
    networks:
      - vaultwarden

networks:
  vaultwarden:
    driver: bridge

Crea el Caddyfile:

# Crear el Caddyfile
nano Caddyfile

Agrega esta configuración:

vault.tudominio.com {
    reverse_proxy vaultwarden:80
}

Reemplaza vault.tudominio.com con tu dominio real. Caddy obtendrá y renovará automáticamente los certificados de Let's Encrypt.

Paso 5: Lanzar Vaultwarden

Inicia todo:

# Descargar imágenes e iniciar
docker compose up -d

# Verificar los registros
docker compose logs -f

Deja que Caddy tenga un minuto para obtener tu certificado SSL. Deberías ver algo como:

caddy  | certificado obtenido con éxito para vault.tudominio.com

Paso 6: Crea Tu Cuenta

Navega a https://vault.tudominio.com en tu navegador. Verás la interfaz de la bóveda web de Bitwarden. Haz clic en "Crear Cuenta" y configura tu contraseña maestra.

Paso 7: Deshabilitar Registros Públicos

Una vez que tu cuenta esté creada, deshabilita el registro público:

# Edita tu docker-compose.yml
nano docker-compose.yml

# Cambia:
SIGNUPS_ALLOWED: "false"

# Reinicia
docker compose up -d

Los nuevos usuarios ahora solo pueden ser invitados a través del panel de administración o creados por usuarios existentes con privilegios de organización.

Paso 8: Configurar los Clientes de Bitwarden

Aquí es donde el autoalojamiento brilla — usas las aplicaciones oficiales de Bitwarden, solo apuntadas a tu servidor.

Extensiones de Navegador

Instala la extensión de Bitwarden para tu navegador (Chrome, Firefox, Safari).

1. Haz clic en el ícono de la extensión y selecciona "Autoalojado"
2. Ingresa la URL de tu servidor: https://vault.tudominio.com
3. Inicia sesión con tu cuenta

Aplicaciones Móviles

Instala Bitwarden desde la App Store o Google Play.

1. Toca el selector de región (muestra "bitwarden.com" por defecto)
2. Selecciona "Autoalojado"
3. Ingresa la URL de tu servidor e inicia sesión

Habilita el desbloqueo biométrico (Face ID, huella dactilar) para un acceso rápido sin tener que escribir tu contraseña maestra cada vez.

Aplicaciones de Escritorio

Descarga desde bitwarden.com/download — disponible para Windows, macOS y Linux. La misma configuración: Configuración → Autoalojado → ingresa tu URL.

Configurando Compartición Familiar

Una de las mejores características de Vaultwarden es organizaciones ilimitadas — perfecto para compartir contraseñas con miembros de la familia.

Crear una Organización Familiar

1. Inicia sesión en tu bóveda web
2. Haz clic en "Nueva Organización"
3. Nómbrala (por ejemplo, "Contraseñas Familiares")
4. Elige el plan "Gratis" (todas las características están disponibles)

Invitar a Miembros de la Familia

1. Ve a tu organización → Miembros
2. Haz clic en "Invitar Usuario"
3. Ingresa su dirección de correo electrónico
4. Elige su rol (Miembro, Administrador o Propietario)

Si los registros están deshabilitados, usa el panel de administración (https://vault.tudominio.com/admin) para crear cuentas directamente.

Crear Colecciones Compartidas

Las colecciones son como carpetas que se pueden compartir con miembros específicos:

• Servicios de Streaming — Netflix, Disney+, etc. (compartir con todos)
• Contraseñas de WiFi — red doméstica, casas de parientes
• Suscripciones Compartidas — cuentas familiares que todos usan
• Información de Emergencia — cuentas bancarias, seguros (restringir a miembros de confianza)

Endurecimiento de Seguridad Esencial

Tu bóveda de contraseñas es un objetivo de alto valor. Aquí te mostramos cómo asegurarla:

Habilitar Autenticación de Dos Factores

Inicia sesión en tu bóveda web → Configuración de Cuenta → Inicio de Sesión de Dos Pasos. Las opciones incluyen:

• Aplicación de Autenticador (Google Authenticator, Authy, etc.) — recomendado
• YubiKey — clave de hardware para máxima seguridad
• Correo Electrónico — envía un código a tu correo electrónico (requiere configuración SMTP)

Configurar Fail2Ban

Protege contra ataques de fuerza bruta prohibiendo IPs después de intentos fallidos de inicio de sesión. Crea /etc/fail2ban/filter.d/vaultwarden.conf:

[Definition]
failregex = ^.*El nombre de usuario o la contraseña son incorrectos\. Intenta de nuevo\. IP: <ADDR>\. Nombre de usuario:.*$
ignoreregex =

Y /etc/fail2ban/jail.d/vaultwarden.local:

[vaultwarden]
enabled = true
port = 80,443
filter = vaultwarden
logpath = /path/to/vw-data/vaultwarden.log
maxretry = 5
bantime = 1h
findtime = 15m

Copias de Seguridad Regulares

Los datos de tu bóveda están en el directorio ./vw-data. Haz copias de seguridad regularmente:

# Script de copia de seguridad simple
#!/bin/bash
BACKUP_DIR="/backup/vaultwarden"
DATE=20260210

# Detener el contenedor para consistencia
docker compose -f ~/vaultwarden/docker-compose.yml stop

# Crear copia de seguridad encriptada
tar -czf - ~/vaultwarden/vw-data | gpg --symmetric --cipher-algo AES256 > "/vaultwarden-.tar.gz.gpg"

# Reiniciar
docker compose -f ~/vaultwarden/docker-compose.yml up -d

Almacena las copias de seguridad fuera del sitio — en un servidor diferente, almacenamiento en la nube con encriptación del lado del cliente, o incluso en una unidad USB en una caja fuerte.

Características Avanzadas

Bitwarden Send

Send te permite compartir de forma segura texto o archivos con cualquier persona — incluso personas sin una cuenta de Bitwarden. Perfecto para compartir contraseñas de WiFi con invitados o enviar documentos sensibles.

1. En cualquier cliente de Bitwarden, ve a Enviar
2. Crea un nuevo Envío (texto o archivo)
3. Establece la expiración, el conteo máximo de accesos y una contraseña opcional
4. Comparte el enlace generado

Acceso de Emergencia

Designa contactos de confianza que pueden solicitar acceso a tu bóveda si algo te sucede:

1. Ve a Configuración → Acceso de Emergencia
2. Agrega contactos de confianza (necesitan cuentas de Vaultwarden)
3. Establece un período de espera (por ejemplo, 7 días)
4. Si solicitan acceso y no lo niegas dentro del período de espera, obtienen acceso de solo lectura a tu bóveda

Panel de Administración

Accede al panel de administración en https://vault.tudominio.com/admin usando tu ADMIN_TOKEN. Aquí puedes:

• Ver todos los usuarios y organizaciones
• Invitar nuevos usuarios o eliminar cuentas
• Ver la configuración del servidor y diagnósticos
• Realizar mantenimiento de la base de datos

Importando Contraseñas Existentes

¿Te mudas de otro administrador de contraseñas? Bitwarden importa de prácticamente todo:

Desde Chrome/Firefox

1. Exporta contraseñas desde tu navegador (generalmente en formato CSV)
2. En la bóveda web de Bitwarden: Herramientas → Importar Datos
3. Selecciona tu navegador como formato de origen
4. Sube el archivo

Desde 1Password, LastPass, Dashlane, etc.

1. Exporta desde tu administrador actual (consulta su documentación para opciones de exportación)
2. En Bitwarden: Herramientas → Importar Datos
3. Selecciona la aplicación de origen del menú desplegable
4. Sube tu archivo de exportación

Después de importar: Elimina el archivo de exportación de forma segura — ¡contiene todas tus contraseñas en texto plano!

Manteniendo Vaultwarden Actualizado

Las actualizaciones traen correcciones de seguridad y nuevas características. Actualiza regularmente:

# Navega a tu directorio de Vaultwarden
cd ~/vaultwarden

# Descarga la última imagen
docker compose pull

# Reinicia con la nueva versión
docker compose up -d

# Limpia imágenes antiguas
docker image prune -f

Consulta la página de lanzamientos de Vaultwarden para ver los registros de cambios y cambios importantes antes de actualizaciones mayores.

Solución de Problemas

No puedo acceder a la Bóveda Web

• Verifica que tu variable de entorno DOMAIN coincida exactamente con tu URL real
• Verifica el certificado SSL: curl -I https://vault.tudominio.com
• Revisa los registros de Caddy: docker compose logs caddy

Las Notificaciones por Correo Electrónico No Funcionan

• Si usas Gmail, necesitas una Contraseña de Aplicación (no tu contraseña regular)
• Revisa la configuración SMTP en el panel de administración → Diagnósticos
• Intenta enviar un correo electrónico de prueba desde el panel de administración

La Aplicación Móvil No Puede Conectarse

• Asegúrate de estar usando HTTPS (no HTTP)
• Verifica que el certificado SSL sea válido (no autofirmado, a menos que lo hayas instalado en tu dispositivo)
• Intenta acceder a la URL de la bóveda web en el navegador de tu teléfono primero

Preguntas Frecuentes

¿Es Vaultwarden tan seguro como Bitwarden?

Sí. Vaultwarden implementa el mismo esquema de encriptación (AES-256-CBC con PBKDF2-SHA256 o Argon2id). Tu bóveda se encripta localmente con tu contraseña maestra antes de que cualquier dato toque el servidor. Incluso si alguien compromete tu servidor, no puede leer tus contraseñas sin tu contraseña maestra.

¿Qué pasa si mi servidor se cae?

Los clientes de Bitwarden almacenan en caché tu bóveda localmente. Aún puedes acceder y autocompletar contraseñas sin conexión. Simplemente no puedes sincronizar nuevos cambios hasta que el servidor vuelva a estar en línea.

¿Puedo usar esto con múltiples dispositivos?

Absolutamente. Inicia sesión en tantos dispositivos como desees — teléfonos, tabletas, computadoras, navegadores. Los cambios se sincronizan automáticamente.

¿Hay un límite en contraseñas o usuarios?

No hay límites artificiales. Almacena tantas contraseñas como desees, crea tantas cuentas de usuario y organizaciones como necesites. El único límite es el espacio de almacenamiento de tu servidor.

¿Puedo migrar de vuelta a la nube de Bitwarden más tarde?

Sí. Exporta tu bóveda desde Vaultwarden (Herramientas → Exportar Bóveda), luego importa en una cuenta de Bitwarden en la nube. Tus datos son portátiles.

¿Qué sigue?

Ahora tienes un administrador de contraseñas de grado profesional funcionando en tu propia infraestructura. Aquí te mostramos cómo aprovecharlo al máximo:

• Importa todas tus contraseñas desde navegadores y otros administradores
• Instala la extensión del navegador en cada dispositivo — el autocompletado es un cambio de juego
• Configura el compartimiento familiar para suscripciones y cuentas compartidas
• Habilita 2FA en todas partes — Vaultwarden también puede almacenar tus códigos TOTP
• Explora más aplicaciones autoalojadas en el directorio de Hostly — ¿quizás una solución de respaldo de fotos a continuación?

La seguridad de las contraseñas ya no es opcional — es esencial. Con Vaultwarden, obtienes lo mejor de ambos mundos: la experiencia pulida de los administradores de contraseñas comerciales, con la privacidad y control del autoalojamiento. Tus contraseñas permanecen tuyas, encriptadas en tu hardware, accesibles solo con tu contraseña maestra.

Sin tarifas mensuales. Sin minería de datos. Sin confianza requerida. Solo gestión de contraseñas segura y privada para ti y tu familia.