Autoalojar Vaultwarden en un VPS.
Su propio gestor compatible con Bitwarden, en 30 minutos.
Vaultwarden es el servidor de contraseñas ligero, basado en Rust y compatible con Bitwarden. Cinco comandos Docker, un proxy inverso HTTPS, un cron de copia de seguridad — y el gestor de credenciales de cada cuenta que posee vive en el hardware que alquila, no en la infraestructura en la que confía.
- 01
Vaultwarden es compatible con Bitwarden a nivel de protocolo y de gestor — todos los clientes oficiales funcionan sin más. Funciona con 50–100 MB de RAM; cualquier VPS lo maneja.
- 02
El gestor está cifrado con AES-256 en el lado del cliente. El servidor nunca ve su contraseña maestra. Comprometer el VPS produce un blob cifrado, no credenciales.
- 03
El paso no obvio es la capa de metadatos — pagar el proveedor con una tarjeta vinculada a KYC vincula su identidad real con la IP de su gestor. Un proveedor sin KYC y con pago en criptomoneda elimina ese vínculo.
Lo que Vaultwarden es, y lo que no es.
Vaultwarden — anteriormente bitwarden_rs — es una reimplementación independiente del lado del servidor de la API de Bitwarden en Rust. Habla el mismo protocolo de comunicación que el servidor oficial de Bitwarden, almacena los gestores en el mismo formato cifrado y acepta todos los clientes oficiales sin cambios. Para una extensión de navegador de Bitwarden o una aplicación iOS, un servidor Vaultwarden es indistinguible de bitwarden.com.
Las diferencias interesantes son operativas. El servidor oficial de Bitwarden es un stack .NET de múltiples contenedores diseñado para despliegue empresarial; la imagen de autoalojamiento publicada espera 2 GB de RAM y una licencia de SQL Server para ser cómoda. Vaultwarden es un único binario Rust de 15 MB que usa SQLite por defecto, funciona felizmente en 50 MB de RAM y arranca en frío en menos de un segundo. Todo el proyecto cabe en un único contenedor Docker sin dependencias.
Lo que obtiene es toda la superficie de funciones de Bitwarden — gestor de contraseñas, notas seguras, registros de identidad, tarjetas de pago, archivos adjuntos, send (comparticiones cifradas de un solo uso), autenticador TOTP, Organizaciones con colecciones compartidas, 2FA con clave hardware, autocompletado del navegador, desbloqueo biométrico móvil — sin ninguna de las restricciones de nivel de pago. El equivalente al plan Families y el equivalente al SSO Enterprise son ambos gratuitos en un Vaultwarden autoalojado.
Lo que Vaultwarden no es: un servidor auditado formalmente. Las primitivas criptográficas se heredan de los clientes de Bitwarden (que han sido auditados de forma independiente), pero el servidor de Vaultwarden en sí no ha pasado por una auditoría de seguridad de terceros. Para un gestor personal o de equipo pequeño es una contrapartida perfectamente razonable; para una empresa regulada no lo es.
Elegir el VPS — por qué el proveedor al que se alquila importa más que las especificaciones.
Vaultwarden funciona en prácticamente cualquier VPS Linux — el mínimo de recursos es tan bajo que la hoja de especificaciones es el eje incorrecto en el que optimizar. El eje correcto es lo que tiene que entregar para alquilar el servidor.
Un gestor de contraseñas es el objetivo de mayor valor que posee una persona privada. Comprometerlo otorga acceso a todas las demás cuentas del propietario. La postura criptográfica protege el contenido del gestor; no protege los metadatos en torno al gestor — quién alquiló la IP, desde dónde, con qué tarjeta se pagó, bajo qué nombre se registró.
Cuando alquila un VPS de un proveedor convencional con KYC completo, la base de datos de facturación vincula su nombre legal con la IPv4 del servidor. Si el proveedor es vulnerado, recibe una orden judicial o simplemente vende datos anonimizados a un socio de análisis de marketing, el vínculo sobrevive. El gestor sigue cifrado, pero la capa de metadatos es permeable por diseño.
NordBastion es lo contrario: correo electrónico más contraseña como único requisito de registro, pago en Bitcoin, Monero, Lightning u otras criptomonedas, y cuatro regímenes constitucionales nórdicos de libertad de prensa para el centro de datos. El vault es suyo; el rastro de metadatos que conecta el vault con su identidad, sencillamente, no existe. Para alojar Vaultwarden, el <a href="/es/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">Ravelin VPS a $5,90/mes</a> del nivel de entrada está holgadamente sobredimensionado: 2 vCPU, 4 GB RAM y 80 GB SSD ejecutarán Vaultwarden, el proxy inverso y otras tres aplicaciones autoalojadas en el mismo servidor.
La instalación con Docker. Cinco comandos, diez minutos.
Inicie un VPS de Debian 12 nuevo, acceda por SSH como usuario sudo no root y ejecute estos cinco bloques. Sustituya vault.example.com por su propio subdominio en todos los lugares — será la URL con la que acceda al gestor web.
1. Instalar Docker. curl -fsSL https://get.docker.com | sh && sudo usermod -aG docker $USER — cierre sesión y vuelva a entrar para que la pertenencia al grupo surta efecto.
2. Crear el directorio de datos. mkdir -p ~/vw-data — todo el estado de Vaultwarden (la base de datos SQLite del gestor, los adjuntos, la caché de iconos) vive en un directorio; hacer copias de seguridad es sencillo por este motivo.
3. Generar el token de administrador. docker run --rm vaultwarden/server /vaultwarden hash --preset owasp — pegue su contraseña de administrador elegida cuando se le pida, capture el hash Argon2 resultante. Esto protege el panel /admin.
4. Iniciar el contenedor. docker run -d --name vaultwarden --restart unless-stopped -e DOMAIN="https://vault.example.com" -e ADMIN_TOKEN='<pegar-hash-del-paso-3>' -e SIGNUPS_ALLOWED=false -e WEBSOCKET_ENABLED=true -v ~/vw-data:/data -p [redacted-ip]:80 vaultwarden/server:latest — nótese que el enlace -p [redacted-ip] mantiene Vaultwarden privado al host; el proxy inverso del capítulo 4 está por delante.
5. Verificar. curl -s http://[redacted-ip]/alive debe devolver una marca de tiempo. Si lo hace, Vaultwarden está activo. Si no, docker logs vaultwarden muestra qué salió mal — casi siempre un error tipográfico en la variable de entorno ADMIN_TOKEN.
SIGNUPS_ALLOWED=false en el paso 4 es la configuración que más se olvida. Déjela en true y su gestor queda abierto para que cualquiera que encuentre la URL se registre. Póngala en true solo el tiempo suficiente para crear su propia cuenta, luego vuelva a false y reinicie.
HTTPS y el panel de administración. Obligatorio, pero cinco minutos.
Vaultwarden se niega a servir el gestor web sobre HTTP plano desde una dirección que no sea localhost; todos los clientes oficiales también se niegan a comunicarse con un servidor que no sea HTTPS. El paso del proxy inverso + Let's Encrypt es la puerta al resto de la configuración. Caddy es la ruta más ligera — un binario, ACME automático, sin certbot separado que programar.
Apunte su registro DNS A de vault.example.com a la IP del VPS y espere la propagación (unos dos minutos para registros nuevos en la mayoría de proveedores). sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https && curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg && echo "deb [signed-by=/usr/share/keyrings/caddy-stable-archive-keyring.gpg] https://dl.cloudsmith.io/public/caddy/stable/deb/debian any-version main" | sudo tee /etc/apt/sources.list.d/caddy-stable.list && sudo apt update && sudo apt install caddy.
Escriba /etc/caddy/Caddyfile: vault.example.com { reverse_proxy [redacted-ip] header_up X-Real-IP {remote_host} } — esa es toda la configuración. sudo systemctl reload caddy y en diez segundos Caddy habrá obtenido un certificado de Let's Encrypt y el gestor estará accesible en https://vault.example.com.
El panel /admin. Vaultwarden expone una interfaz de administración en /admin, protegida por el hash Argon2 que generó en el capítulo 3. Desde allí puede deshabilitar los registros (ya hecho en el paso 4), establecer el servidor SMTP para correos de invitación y restablecimiento de contraseña, configurar 2FA con Yubikey o Duo, establecer límites por usuario e inspeccionar la lista de usuarios. Ábrala una vez, recorra cada sección, guarde la configuración — vivirá en /vw-data/config.json a partir de entonces.
Un pequeño detalle de refuerzo: desconectar /admin de la internet pública por completo. Añadir al Caddyfile: vault.example.com { @admin path /admin* @admin not remote_ip [redacted-ip]/8 [redacted-ip]/16 your.home.ip/32 respond @admin 404 ... } — cualquiera que no esté en su IP doméstica recibe un 404 al probar /admin, el panel es invisible desde internet abierta.
Copias de seguridad. El único error que le arruina.
Un gestor de contraseñas del que no puede restaurar es un gestor que ya ha perdido. La estrategia de copias de seguridad de Vaultwarden es sencilla — todo lo que importa vive en un directorio — pero la disciplina en torno a las pruebas de restauración es lo que separa una configuración funcional de un futuro incidente.
Qué incluir en las copias de seguridad. El árbol completo ~/vw-data/. Dentro: db.sqlite3 es el gestor cifrado, attachments/ guarda los archivos adjuntos, config.json guarda la configuración de /admin, sends/ guarda las comparticiones cifradas temporales, rsa_key.* son las claves de firma JWT usadas por las sesiones.
Cómo hacer copias de seguridad. SQLite gestiona la copia de seguridad concurrente mediante su comando .backup — programe un cron nocturno: 0 4 * * * docker exec vaultwarden sqlite3 /data/db.sqlite3 ".backup /data/db.sqlite3.bak" && tar czf /backups/vw-$(date -I).tgz -C /home/<user>/vw-data . — un gestor de 50 cuentas produce un tarball de menos de 1 MB.
Adónde enviar las copias de seguridad. Cualquier lugar que no sea el mismo VPS. rclone a un bucket compatible con S3, un segundo VPS, su NAS doméstico vía WireGuard, o una llave USB cifrada que envíe a un familiar una vez por trimestre — elija lo que se adapte a su modelo de amenaza. La regla fundamental es la separación geográfica y administrativa respecto al primario.
El ejercicio de restauración. Inicie un segundo VPS, copie la copia de seguridad de ayer, descomprima en ~/vw-data, ejecute el bloque docker del capítulo 3 apuntando a él, abra el gestor web en un subdominio temporal, inicie sesión con su contraseña maestra. Si su cuenta se abre y el gestor se descifra, la copia de seguridad es real. Realice este ejercicio una vez ahora, antes de poner sus credenciales reales en el gestor. Vuelva a realizarlo cada seis meses.
Clientes, compartición, móvil. El ecosistema Bitwarden, apuntando a su servidor.
Instale el cliente oficial de Bitwarden de su elección — extensión de navegador, aplicación de escritorio, iOS, Android. Antes de iniciar sesión, toque el icono de engranaje en la parte superior izquierda, cambie el servidor de bitwarden.com a https://vault.example.com y luego inicie sesión con la cuenta creada en el capítulo 4. El cliente no puede distinguir la diferencia y se comporta de forma idéntica a una suscripción gestionada de Bitwarden.
Los clientes móviles tienen un paso adicional: el desbloqueo biométrico requiere que el dispositivo esté registrado, lo cual el primer inicio de sesión en iOS / Android gestiona automáticamente. El autocompletado del navegador, el autocompletado móvil, la generación de TOTP, el generador de contraseñas, la búsqueda de monitoreo de brechas (HaveIBeenPwned) y Bitwarden Send funcionan todos sin configuración adicional.
Compartición familiar. Cree una Organización en el gestor web → Nueva Organización → asígnele un nombre (p.ej. «Familia»), plan gratuito. Dentro de la organización, cree una Colección («Facturas compartidas», «Servicios de streaming», «WiFi y router»). Invite a cada miembro de la familia por su correo electrónico local del servidor, acepte la invitación cuando se registren y asígnelos a la colección. A partir de ese momento, cualquier elemento de la colección está cifrado de extremo a extremo para cada miembro — el servidor solo ve texto cifrado.
Lo que no tiene que pagar. Todas las funciones de pago de Bitwarden que son de política de servidor (Organizaciones, colecciones compartidas, el equivalente al plan Families, 2FA con clave hardware, archivos adjuntos en Send) están desbloqueadas por defecto en Vaultwarden porque el servidor es la puerta de control. Las funciones de pago que son de política de cliente (algunas restricciones premium móviles de Bitwarden) son respetadas por los clientes a menos que se parcheen — algo que no vale la pena hacer para un usuario honesto.
Preguntas, respondidas.
Ocho preguntas que surgen antes y durante el primer mes de ejecutar un Vaultwarden autoalojado.
¿Vaultwarden es lo mismo que Bitwarden?
Vaultwarden es una reimplementación independiente en Rust del servidor Bitwarden, totalmente compatible con todos los clientes oficiales de Bitwarden — extensión de navegador, aplicación de escritorio, iOS, Android, CLI. No está producido por Bitwarden Inc. El protocolo de comunicación y el formato del gestor son los mismos; el binario del servidor ocupa aproximadamente 1/100 del tamaño y funciona cómodamente en 50–100 MB de RAM.
¿Por qué autoalojar Vaultwarden en lugar de pagar por Bitwarden alojado?
Tres razones. Primera: nadie más guarda su gestor cifrado — aunque Bitwarden tampoco puede leerlo, eliminar al tercero es el modelo de amenaza más limpio. Segunda: coste — un VPS a $5/mes gestiona una familia de cinco con espacio para el resto de su stack autoalojado. Tercera: sin telemetría, sin endpoints de analítica, sin correo de verificación de cuenta vinculado a un nombre.
¿Es realmente seguro autoalojar un gestor de contraseñas?
Sí — Vaultwarden usa el mismo cifrado en el lado del cliente que Bitwarden. El gestor se cifra con AES-256 en el cliente antes de enviarse al servidor; el servidor nunca ve su contraseña maestra ni ningún texto plano. Un compromiso del VPS produce un blob cifrado que es tan débil como su contraseña maestra. El riesgo operativo recae en usted (copias de seguridad, HTTPS, refuerzo del servidor), pero el riesgo criptográfico es idéntico al de Bitwarden gestionado.
¿Cuánto VPS necesito?
Muy poco. Vaultwarden en sí funciona felizmente con 1 vCPU y 512 MB de RAM. El VPS mínimo de NordBastion (2 vCPU, 4 GB, $5.90/mes) es más que suficiente para ejecutar Vaultwarden, el proxy inverso y tres otros servicios autoalojados en el mismo servidor. El uso del disco es insignificante — un gestor de 50 cuentas con archivos adjuntos permanece por debajo de 200 MB.
¿Por qué importa un proveedor sin KYC y con pago en criptomoneda para un gestor de contraseñas?
Un gestor de contraseñas es el objetivo de mayor valor que posee una persona privada — contiene la credencial de todas las demás cuentas. Alquilar el servidor con su nombre legal y una tarjeta vinculada a su identidad real significa que un compromiso de la base de datos de facturación del proveedor vincula su identidad con la IP de su gestor. Un proveedor sin KYC y con pago en criptomoneda elimina ese vínculo por diseño. El gestor en sí sigue cifrado en el lado del cliente; la postura sin KYC protege la capa de metadatos.
¿Realmente necesito HTTPS para el gestor web de Vaultwarden?
Sí, estrictamente. Vaultwarden se niega a servir el gestor web sobre HTTP plano desde cualquier dirección que no sea localhost, y todos los clientes oficiales también se niegan a comunicarse con un servidor que no sea HTTPS. La configuración del proxy inverso + Let's Encrypt en esta guía es obligatoria. La buena noticia: todo el paso TLS lleva unos tres minutos una vez que su registro DNS A ha propagado.
¿Cuál es el mayor error que comete la gente al autoalojar Vaultwarden?
No probar la restauración desde la copia de seguridad. Un tar.gz nocturno de /vw-data/ no es una copia de seguridad hasta que lo haya descomprimido en un VPS nuevo y haya iniciado sesión correctamente en el gestor web recuperado. Planifique para el caso de fallo: el servidor ha desaparecido, el disco ha sido borrado, el único artefacto que tiene es el archivo de copia de seguridad de ayer — ¿puede volver a entrar en su gestor? Realice ese ejercicio una vez antes de poner credenciales reales en el gestor.
¿Puedo compartir mi gestor de contraseñas con mi familia desde un Vaultwarden autoalojado?
Sí. Vaultwarden reimplementa la función Organizaciones de Bitwarden — incluyendo colecciones compartidas, permisos granulares y el equivalente al plan Families de Bitwarden — sin ningún nivel de pago. Cree una organización en el gestor web, invite a su familia por correo electrónico (o compartiendo el enlace de invitación directamente), y a partir de ahí la experiencia de compartición es idéntica al producto oficial de Bitwarden.
Alquile un VPS sin KYC, pague en criptomoneda, ejecute Vaultwarden hoy.
El nivel de entrada Ravelin (2 vCPU, 4 GB de RAM, 80 GB de SSD, $5.90/mes) está cómodamente sobredimensionado para Vaultwarden y deja espacio para el resto de su stack autoalojado en el mismo servidor.
Última revisión · 2026-05-20 · Fuentes · Documentación upstream de Vaultwarden, matriz de compatibilidad de clientes Bitwarden, ACME de Let's Encrypt · Cadencia · anual
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Files, calendar, contacts, photos — owned, not rented.
Postfix, Dovecot, SPF/DKIM/DMARC — deliverability included.
A meta search engine that does not log you — because you own it.
What “no KYC” actually means — and what it does not.