Seguridad · Contraseñas

Vaultwarden —
Passwords Propios

Gestor de contraseñas self-hosted compatible con Bitwarden. Quinientas credenciales cifradas en tu servidor. Sin suscripción. Sin terceros.

vaultwarden bitwarden docker nginx ssl

500+

Contraseñas

0€

Al mes

E2E

Cifrado

Familia

Usuarios

El Reto

Tus contraseñas.
En el servidor de otro.

Los gestores de contraseñas cloud son seguros técnicamente, pero guardan tus datos cifrados en servidores ajenos. LastPass tuvo una brecha en 2022 que expuso bóvedas cifradas. 1Password requiere una suscripción de 36€/año. Y todos dependen de que el proveedor siga en el negocio.

Vaultwarden es un reimplementación open-source del servidor de Bitwarden, ligera, compatible al 100% con los clientes oficiales y que corre en Docker con 50MB de RAM. Misma experiencia, datos en casa.

Si alguien hackea tu gestor cloud,
hackea todas tus cuentas a la vez.

Con Vaultwarden self-hosted, el vector de ataque se reduce al acceso a tu servidor. Y ese acceso está protegido por Tailscale VPN + Nginx + HTTPS + 2FA.

Arquitectura

Contenedor ligero.
Seguridad en capas.

Vaultwarden corre como contenedor Docker con una base de datos SQLite. Nginx Proxy Manager gestiona el certificado SSL con renovación automática via Let's Encrypt. El acceso externo está restringido: solo desde la VPN Tailscale o mediante autenticación de dos factores para el acceso web.

// arquitectura de acceso

Cliente móvil

Bitwarden App

iOS / Android

Cliente escritorio

Bitwarden Extension

Chrome / Firefox

→

Proxy HTTPS

Nginx + SSL

Let's Encrypt · TLS 1.3

→

Servidor

Vaultwarden

SQLite · Docker

encrypted

Los backups automáticos diarios exportan la base de datos SQLite cifrada a almacenamiento externo. En caso de pérdida del servidor, la restauración completa tarda menos de 5 minutos.

Seguridad

Cifrado end-to-end.
Ni el servidor lo ve en claro.

El modelo de seguridad de Bitwarden/Vaultwarden cifra los datos en el cliente antes de enviarlos al servidor. La clave maestra nunca sale del dispositivo. El servidor almacena únicamente datos cifrados que no puede descifrar.

capa 01

Cifrado E2E

AES-256-CBC + HMAC-SHA256. Datos cifrados en cliente. El servidor nunca ve las credenciales en texto plano.

capa 02

HTTPS + TLS

Certificado Let's Encrypt con renovación automática. TLS 1.3 exclusivo. HSTS activado.

capa 03

2FA TOTP

Autenticación de dos factores con TOTP en todos los usuarios. Sin 2FA, sin acceso.

capa 04

Backups cifrados

Backup diario automático de la base de datos SQLite, cifrado y enviado a almacenamiento externo.

Resultado

Dos años sin incidentes.
Cero dependencia externa.

El servidor lleva más de dos años en producción con uso diario por parte de tres personas de la familia. La sincronización entre dispositivos es instantánea. La app oficial de Bitwarden funciona sin ninguna modificación, solo apuntando al servidor propio.

Ahorro acumulado frente a una suscripción familiar de 1Password: más de 200€ en dos años. Y la tranquilidad de que ninguna brecha de seguridad en un tercero afecta a las credenciales.

Compatible con todos los clientes oficiales de Bitwarden
Acceso desde móvil, escritorio y extensión de navegador
Compartición de credenciales entre miembros de la familia
Generador de contraseñas seguras integrado

Vaultwarden Bitwarden Clients Docker Nginx Let's Encrypt SQLite TOTP 2FA

← Volver Todos los proyectos IT ↗ Ir al portfolio Alejandro Pérez López →

Vaultwarden —Passwords Propios

Tus contraseñas.En el servidor de otro.

Contenedor ligero.Seguridad en capas.

Cifrado end-to-end.Ni el servidor lo ve en claro.