VPS y virtualización

Bitwarden / Vaultwarden autoalojado: gestor de contraseñas para el equipo

calendar_month 8 de mayo de 2026 schedule 9 min de lectura visibility 25 vistas
person
Valebyte Team
Bitwarden / Vaultwarden autoalojado: gestor de contraseñas para el equipo
Para desplegar Vaultwarden para un equipo de hasta 50 personas, es suficiente un VPS con 1 vCPU, 512 MB de RAM y 10 GB de disco, lo que cuesta aproximadamente entre 4 y 5 dólares al mes, proporcionando un control total sobre las contraseñas corporativas y eliminando los pagos mensuales por cada usuario.

El uso de gestores de contraseñas en la nube conlleva riesgos: desde filtraciones de datos por parte del proveedor hasta el bloqueo repentino de cuentas. Vaultwarden (anteriormente conocido como bitwarden_rs) es una implementación alternativa de la API de Bitwarden escrita en Rust. Esta solución ligera permite desplegar un servicio bitwarden self hosted completo que consume entre 10 y 20 veces menos recursos que la imagen oficial de Docker de los desarrolladores, escrita en .NET Core y que requiere MSSQL.

¿Por qué Vaultwarden VPS es el estándar para los negocios modernos?

La principal ventaja de vaultwarden vps radica en la combinación de seguridad y rentabilidad. Mientras que el Bitwarden oficial requiere un mínimo de 4 GB de memoria RAM para funcionar cómodamente debido a su pesada arquitectura de microservicios, la versión en Rust funciona perfectamente con las tarifas mínimas. Esto es crítico al escalar la infraestructura o al realizar una migración de Vercel/Netlify a su propio VPS, donde cada megabyte de memoria cuenta.

Comparación de soluciones arquitectónicas

El Bitwarden oficial utiliza el stack tecnológico de Microsoft, incluyendo SQL Server y múltiples contenedores para diferentes tareas (API, Identity, Web, Notifications). Vaultwarden combina todas las funciones en un solo archivo binario, utilizando SQLite por defecto. Esto no solo simplifica el despliegue, sino que también reduce la superficie de ataque. Al usar vaultwarden docker, obtienes un único contenedor que es fácil de actualizar y mover entre servidores.

Beneficio económico y funcionalidad

Las funciones de pago de Bitwarden, como la creación de organizaciones, el uso compartido de contraseñas en equipos (Collections), la autenticación de dos factores (2FA) a través de Yubikey o Duo, están disponibles de forma gratuita en Vaultwarden. Para una empresa de 20 personas, el uso de un servicio en la nube costaría entre 60 y 100 dólares mensuales. Su propio gestor de contraseñas basado en Vaultwarden cuesta unos 5 dólares fijos por el alquiler del servidor, independientemente del número de empleados.

Característica Bitwarden Cloud (Gratis) Bitwarden Enterprise Vaultwarden (Self-hosted)
Coste $0 $5/mes por usuario Precio del VPS (~$5/mes)
Carpetas de equipo No Sí (ilimitadas)
Consumo de RAM N/A 4-8 GB 128-256 MB
2FA (Yubikey/Duo) No
Almacenamiento de adjuntos 100 MB 1 GB+ Limitado por el disco del VPS

Implementación técnica de Vaultwarden Docker y requisitos del sistema

Para ejecutar una configuración de vaultwarden docker, es adecuada casi cualquier distribución moderna de Linux. Se recomienda usar Ubuntu 22.04 LTS o Debian 12 como las plataformas más estables con versiones actualizadas del motor Docker. Si planeas una migración desde DigitalOcean u otro gran proveedor, el proceso de configuración será idéntico gracias a la contenerización.

Características mínimas y recomendadas

  • Procesador: 1 núcleo (incluso con una frecuencia de 2.0 GHz es suficiente para el cifrado sobre la marcha).
  • Memoria RAM: 256 MB para uso personal, 512 MB - 1 GB para un equipo (teniendo en cuenta el almacenamiento en caché del SO).
  • Espacio en disco: 10 GB NVMe (la base de datos de contraseñas pesa poco, el volumen principal lo ocupan los logs y los adjuntos).
  • Red: 100 Mbps - 1 Gbps (el tráfico es mínimo, ya que solo se transmiten datos de texto).

Es importante entender que la implementación en Rust funciona de manera extremadamente eficiente. Incluso con cientos de solicitudes simultáneas de clientes móviles y extensiones de navegador, la carga de la CPU rara vez supera el 5-10%. Esto permite alojar Vaultwarden en el mismo servidor con otros servicios ligeros, por ejemplo, si usas WireGuard en un VPS para un acceso seguro a Internet.

¿Busca un servidor fiable para sus proyectos?

VPS desde $10/mes y servidores dedicados desde $9/mes con NVMe, protección DDoS y soporte 24/7.

Ver ofertas →

Instalación paso a paso de Bitwarden self hosted en el servidor

El proceso de despliegue de bitwarden self hosted comienza con la preparación del entorno. Se asume que ya tienes un VPS limpio y un nombre de dominio apuntando a la dirección IP del servidor. El uso de HTTPS es obligatorio, ya que los navegadores modernos bloquean la Web Crypto API en conexiones no seguras, lo que imposibilitaría el funcionamiento del gestor de contraseñas.

Paso 1: Instalación de Docker y Docker Compose

curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh
sudo systemctl enable --now docker

Paso 2: Creación de la configuración docker-compose.yml

Crea un directorio de trabajo y el archivo de configuración. Utilizaremos la imagen oficial de Vaultwarden y la base de datos SQLite integrada, que para el 99% de los equipos es la opción óptima por rendimiento y facilidad de backup.

version: '3'
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: always
    environment:
      - SIGNUPS_ALLOWED=true
      - DOMAIN=https://pass.tudominio.com
      - DATABASE_URL=data/vaultwarden.db
      - ADMIN_TOKEN=un_token_aleatorio_fuerte_aqui
    volumes:
      - ./vw-data:/data
    ports:
      - 8080:80

En esta configuración, el parámetro ADMIN_TOKEN permite acceder a un panel de administración oculto en la dirección /admin. Allí puedes gestionar usuarios y configuraciones del servidor sin editar archivos de configuración. Después de registrar a todos los empleados, se recomienda establecer SIGNUPS_ALLOWED=false para evitar el registro de personas ajenas.

Configuración de Nginx y SSL para Bitwarden self hosted

Exponer directamente los puertos del contenedor a la red es una mala práctica. Para garantizar la seguridad y gestionar los certificados SSL, es necesario utilizar un reverse proxy, como Nginx. Este es un esquema estándar que también recomendamos aplicar cuando configuras n8n self-hosted u otros servicios web.

Configuración de Nginx

Instala Nginx y Certbot para obtener automáticamente certificados de Let's Encrypt. Ejemplo de archivo de configuración para el sitio:

server {
    listen 80;
    server_name pass.tudominio.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name pass.tudominio.com;

    ssl_certificate /etc/letsencrypt/live/pass.tudominio.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/pass.tudominio.com/privkey.pem;

    client_max_body_size 128M;

    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    location /notifications/hub {
        proxy_pass http://127.0.0.1:3012;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }

    location /notifications/hub/negotiate {
        proxy_pass http://127.0.0.1:8080;
    }
}

La sección /notifications/hub es necesaria para el funcionamiento de WebSocket. Esto permite que las aplicaciones móviles y las extensiones del navegador reciban notificaciones instantáneas sobre cambios en la base de datos de contraseñas sin necesidad de sincronización manual.

Administración y acceso de equipo en su gestor de contraseñas

Cuando su propio gestor de contraseñas está en marcha, la gestión principal se realiza a través de la interfaz web. Para el trabajo en equipo, Vaultwarden implementa el concepto de organizaciones. Una organización es un espacio compartido donde el administrador puede crear colecciones (carpetas) y distribuir derechos de acceso entre los empleados.

Configuración de SMTP para notificaciones

Para invitar a nuevos usuarios, el servidor debe poder enviar correos electrónicos. En el panel de administración o a través de variables de entorno, añade la configuración de tu pasarela SMTP. Sin esto, los usuarios no podrán confirmar su correo electrónico ni recibir notificaciones de inicio de sesión desde nuevos dispositivos.

- SMTP_HOST=smtp.mailgun.org
- [email protected]
- SMTP_PORT=587
- SMTP_SECURITY=starttls
- [email protected]
- SMTP_PASSWORD=password

Gestión de colecciones

Dentro de la organización, puedes crear colecciones, por ejemplo: "Marketing", "Desarrollo", "Admins". A cada empleado se le asigna un nivel de acceso: "Solo lectura", "Lectura y escritura" o "Administrador de colección". Esto permite delimitar de forma flexible el acceso a la infraestructura crítica. Este modelo de derechos de acceso recuerda al utilizado en soluciones VPN corporativas como VLESS-Reality, donde el acceso a los recursos está estrictamente regulado.

Seguridad y backups en password manager selfhost

La seguridad de un password manager selfhost se basa en el cifrado de extremo a extremo (E2EE). El servidor nunca ve tu contraseña maestra en texto plano; todas las operaciones de cifrado ocurren en el cliente. Sin embargo, la responsabilidad de preservar la base de datos cifrada recae en el propietario del VPS.

Estrategia de copia de seguridad

La base de datos SQLite en Vaultwarden es un único archivo db.sqlite3. Sin embargo, la simple copia del archivo mientras el servidor está funcionando puede provocar la corrupción de datos. El método correcto es usar el comando .backup a través de sqlite3 cli o utilizar scripts especializados.

  1. Backup local: Creación regular de un dump de la base de datos.
  2. Almacenamiento externo: Envío de archivos comprimidos y cifrados a una nube compatible con S3 u otro servidor.
  3. Versionado: Almacenamiento de copias de los últimos 30 días.

Ejemplo de un script sencillo para backup:

#!/bin/bash
BACKUP_DIR="/backups/vaultwarden"
DATA_DIR="/opt/vaultwarden/vw-data"
TIMESTAMP=$(date +"%Y%m%d_%H%M%S")

sqlite3 $DATA_DIR/db.sqlite3 ".backup '$BACKUP_DIR/db_$TIMESTAMP.sqlite3'"
tar -czf $BACKUP_DIR/attachments_$TIMESTAMP.tar.gz $DATA_DIR/attachments
find $BACKUP_DIR -type f -mtime +30 -delete

Importación de datos desde 1Password y LastPass

La transición a vaultwarden vps es sumamente sencilla gracias a las herramientas de importación integradas. La API de Bitwarden admite prácticamente todos los formatos de exportación populares. Si tu equipo utilizaba anteriormente LastPass o 1Password, el proceso de migración no llevará más de 15 minutos.

Instrucciones de migración

  • Exporta los datos de tu antiguo gestor en formato .csv o .json.
  • En la interfaz web de Vaultwarden, ve a la sección Herramientas -> Importar datos.
  • Selecciona el formato del archivo de origen (por ejemplo, "1Password (macOS/Windows)").
  • Carga el archivo y haz clic en "Importar".

Importante: después de una importación exitosa, asegúrate de eliminar los archivos de exportación de tu ordenador local, ya que contienen tus contraseñas en texto plano. Vaultwarden maneja correctamente las carpetas anidadas, etiquetas e incluso campos personalizados, manteniendo intacta la estructura de tu base de datos.

Optimización y resolución de problemas

A pesar de su alta estabilidad, al operar vaultwarden docker pueden surgir matices relacionados con los límites de Nginx o la actualización del contenedor. Si cargas archivos grandes (por ejemplo, llaves SSH o certificados) como adjuntos, podrías encontrarte con el error 413 Request Entity Too Large. Esto se soluciona aumentando client_max_body_size en la configuración de Nginx, como se mostró anteriormente.

Actualización de Vaultwarden

La actualización se realiza recreando el contenedor con una nueva imagen. Debido a que todos los datos se almacenan en un volume externo, este proceso es seguro y lleva menos de un minuto:

docker-compose pull
docker-compose up -d --remove-orphans

Se recomienda comprobar la existencia de actualizaciones una vez al mes, ya que los desarrolladores cierran rápidamente las vulnerabilidades detectadas en la versión upstream de Bitwarden y añaden soporte para nuevas funciones en las aplicaciones cliente.

Conclusiones

Para el funcionamiento fiable de un gestor de contraseñas corporativo como Vaultwarden, lo óptimo es utilizar un VPS con 1 GB de RAM y disco NVMe, lo que garantiza un acceso instantáneo a los datos y estabilidad a medida que crece el equipo. Se recomienda configurar backups automáticos de la base de datos en un almacenamiento externo y cerrar el registro de nuevos usuarios inmediatamente después de formar la plantilla de empleados.

¿Listo para elegir un servidor?

VPS y servidores dedicados en más de 72 países con activación instantánea y acceso root completo.

Empezar ahora →

Share this post:

Related Posts

Servidor para agencia/estudio: 1 dedicado vs. 5 VPS en proyectos

Servidor para agencia/estudio: 1 dedicado vs. 5 VPS en proyectos

8 de mayo de 2026 visibility 37
Servidor dedicado por menos de $50/mes 2026: las 10 mejores ofertas

Servidor dedicado por menos de $50/mes 2026: las 10 mejores ofertas

8 de mayo de 2026 visibility 38
VPS para desarrolladores 2026: lista de verificación de las 12 funciones necesarias

VPS para desarrolladores 2026: lista de verificación de las 12 funciones necesarias

8 de mayo de 2026 visibility 36
support_agent
Valebyte Support
Usually replies within minutes
Hi there!
Send us a message and we'll reply as soon as possible.