Vaultwarden: el gestor de contraseñas que sí controlas tú

Si usas el llavero de iCloud, el gestor de contraseñas de Chrome o soluciones como OnePassword, ya sabes lo cómodo que es no recordar contraseñas. Lo que quizá no tienes tan claro es quién controla realmente tus secretos. Aquí es donde entra Vaultwarden: la alternativa self-hosted y minimalista al ecosistema de gestores comerciales.

¿Qué es Vaultwarden?

Vaultwarden es una implementación no oficial, ligera y open source del backend de Bitwarden, escrita en Rust y pensada para autoalojarse. Mantiene compatibilidad total con los clientes oficiales de Bitwarden (web, móvil, extensiones), pero con muchísimo menos consumo de recursos.

Esta solución es idal para un entorno local, que bien puede ser desde un homelab, montado sobre una raspberry pi, hasta una solución empresarial (siempre y cuando esté bien configurado el acceso a dicho servicio y quien y cómo puede acceder), totalmente gratuita.

Usos principales

🔐 Gestión centralizada de credenciales

• Contraseñas.
• Notas seguras.
• Tarjetas.
• Identidades.
• Passkeys.
  

Todo cifrado end-to-end con modelo zero-knowledge (ni siquiera el servidor ve los datos).

👥 Equipos y organizaciones

• Bóvedas compartidas.
• Roles y permisos.
• Ideal para pequeñas empresas, freelancers o equipos técnicos.

🌍 Acceso multiplataforma

Usas las apps oficiales de Bitwarden:

• Web.
• iOS / Android.
• Extensiones para múltiples navegadores.

Ventajas claras frente a soluciones “de terceros”

🆚 Llavero de iCloud

iCloud Keychain

• ✔ Integrado en Apple
• ✖ Solo ecosistema Apple
• ✖ Poca gestión avanzada
• ✖ Cero control del backend

🆚 Gestor de contraseñas de Chrome

Google Chrome Password Manager

• ✔ Cómodo
• ✖ Atado a Google
• ✖ Sin bóvedas compartidas reales
• ✖ Sin auditorías ni políticas

🆚 OnePassword

1Password

• ✔ Muy pulido
• ✖ Suscripción obligatoria
• ✖ Infraestructura cerrada
• ✖ Dependencia total del proveedor

Ventajas técnicas de Vaultwarden (las que importan)

🚀 Ultra ligero

• Docker + SQLite/PostgreSQL/MySQL.
• Consumo ridículo comparado con Bitwarden oficial.

🧠 Control total

• Tú decides:
  • Dónde están los datos.
  • Qué backups haces.
  • Qué políticas aplicas.
  • Qué logs existen.

🔒 Seguridad real

• Cifrado extremo a extremo
• Compatible con:
  • MFA / TOTP
  • WebAuthn / FIDO2
• Modelo zero-knowledge real.

💸 Coste: 0€

• Software libre
• Sin licencias
• Sin “tiers” artificiales

¿Para quién es Vaultwarden?

✔ Sysadmins
✔ Freelancers IT
✔ Pequeñas empresas
✔ Homelabs
✔ Cualquiera que no quiera regalar sus credenciales a un tercero

❌ Usuarios que no quieren ni tocar un servidor
❌ “Quiero que Apple/Google piense por mí”

Conclusión

Vaultwarden no es solo un gestor de contraseñas: es soberanía digital aplicada a la seguridad.

Y sí: funciona. Muy bien. Y no, no necesitas un datacenter de la NASA. En mi caso, lo tengo montado sobre una raspberry pi, sobre Docker y hasta ahora, no he tenido ningún tipo de problema.

De echo, te dejo por aquí un fichero docker-compose.yml , para que puedas desplegar tu propia instancia, en cuestión de minutos (recuerda cambiar las variables a tu gusto):

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden-server
    ports:
      - '82:80'
    environment:
      TZ: 'Europe/Madrid'
      SIGNUPS_ALLOWED: true
      DOMAIN: 'http://localhost:82'
      LOG_FILE: data/access.log
      LOG_LEVEL: warn
      EXTENDED_LOGGING: true
    volumes:
      - vaultwarden_data:/data
    restart: unless-stopped

volumes:
  vaultwarden_data:

networks:
  default:
    external: true
    name: vaultwarden_network

Lo único que tienes que hacer es, en una VM en la que tengas instalado docker previamente y con acceso a internet, crear el fichero, por ejemplo, en el HOME de tu usuario (p.ej: nano /home/test/docker-compose.yml), copiar y pegar el contenido que te he facilitado, ajustar lo necesario para tu entorno y ejecutar:

docker network create vaultwarden_network
cd /home/test
docker compose up -d

Pasados unos minutos, tendrás tu servicio vaultwarden disponible en el puerto 82 de la IP de la máquina dónde hayas ejecutado los comandos anteriores y podremos crear una cuenta, al haber dejado la variable SIGNUPS_ALLOWED: true. Posteriormente, recomiendo cambiarla a SIGNUPS_ALLOWED: false, para que nadie más se pueda resgistrar:

Si te da algún error por falta de permisos, es posible que no hayas seguido las buenas prácticas de Docker y no añadiste tu usuario al grupo docker, cuando realizaste la instalación de Docker y por lo tanto, no puedas levantar ningún contenedor si no eres root.

Si es tu caso, puedes añadirlo de esta forma (te tocará reiniciar la máquina, para evitar problemas de permisos):

usermod -aG docker test
reboot

Si te preguntas cómo acceder desde fuera de la red de casa, existen soluciones, cómo Tailscale, que permiten configurarte una VPN para acceder a tus servicios de tu homelab, sin una configuración super técnica.

Próximamente, dedicaré un post a este servicio de VPN.

Enlaces y fuentes oficiales

• Vaultwarden (GitHub): https://github.com/dani-garcia/vaultwarden
• Documentación oficial Vaultwarden: https://github.com/dani-garcia/vaultwarden/wiki
• Bitwarden – Seguridad y cifrado: https://bitwarden.com/help/
• Modelo Zero-Knowledge (Bitwarden): https://bitwarden.com/security/
• OnePassword – Security White Paper: https://1password.com/security/
• Apple iCloud Keychain – Overview: https://support.apple.com/guide/security/icloud-keychain-secure-data-storage-sec9cbec8c8a/web