bolt Valebyte VPS desde $4/mes — NVMe, despliegue en 60s.

Obtener VPS arrow_forward

Vaultwarden: Bitwarden autoalojado — requisitos de servidor y notas de instalación

calendar_month 8 de julio de 2026 schedule 3 min de lectura visibility 10 vistas
person
Valebyte Team
Vaultwarden: Bitwarden autoalojado — requisitos de servidor y notas de instalación
summarize

TL;DR

  • Vaultwarden es una reimplementación en Rust del servidor Bitwarden: todas las apps y extensiones oficiales funcionan contra él, con una fracción de los recursos.
  • Apetito real: ~50–256 MB de RAM — el VPS más pequeño que puedas alquilar basta para una familia o una empresa pequeña.
  • Requisito duro: HTTPS vía reverse proxy — las API criptográficas del navegador rechazan HTTP plano; un frente Caddy/nginx + Let's Encrypt son 15 minutos.
  • Suelo de seguridad: ADMIN_TOKEN fuerte (argon2), cerrar registros tras el onboarding, 2FA en cada cuenta.
  • La bóveda es el punto único de fallo por diseño — automatiza backups fuera del servidor del directorio de datos y PRUEBA una restauración.

Vaultwarden es la razón por la que «gestor de contraseñas autoalojado» dejó de ser deporte de entusiastas: reimplementa la API del servidor Bitwarden en Rust, de modo que cada cliente oficial de Bitwarden — extensiones, apps móviles, escritorio, CLI — funciona sin modificar, mientras el servidor reposa en 50–256 MB de RAM en lugar del stack oficial multigigabyte. Un VPS de clase $5 lo ejecuta para una familia; uno de $15, para una empresa. La instalación es un contenedor; lo que merece ingeniería es HTTPS, la superficie de administración y los backups.

Qué necesita en realidad

DespliegueCPURAMDisco
Personal / familia (2–10 usuarios)1 vCPU512 MB total con SO1–2 GB (bóveda + adjuntos)
Empresa pequeña (10–100)2 vCPU1–2 GB5–20 GB (adjuntos, sends)
Con Postgres/MariaDB en vez de SQLite2 vCPU+512 MBigual

SQLite es el default y — opinión impopular, respaldada por los mantenedores — vale para la inmensa mayoría de instancias: la carga de escritura de un gestor de contraseñas es trivial. Pasa a Postgres con cientos de usuarios o si ya tienes disciplina de point-in-time recovery en otro sitio.

Las tres trampas que muerden de verdad

  • HTTPS no es opcional. La bóveda web y las extensiones usan WebCrypto, que los navegadores solo habilitan en contextos seguros — por HTTP plano el login simplemente falla. Pon Vaultwarden tras Caddy (dos líneas de config, Let's Encrypt automático) o nginx + certbot. Nunca expongas el puerto del contenedor directamente.
  • El panel de admin es un arma cargada. /admin con un token débil equivale a compromiso total de la bóveda. Genera el token como hash argon2 (vaultwarden hash), o mejor: deja ADMIN_TOKEN sin definir (panel desactivado) y actívalo solo cuando haga falta.
  • Registros abiertos. Por defecto cualquiera que encuentre la URL puede registrarse. Tras crear tus cuentas pon SIGNUPS_ALLOWED=false y usa invitaciones — los escáneres de internet encuentran instancias de Vaultwarden a las horas de que el DNS esté vivo.

Backups: la parte que la gente se salta y lamenta

Autoalojar un gestor de contraseñas concentra toda tu vida digital en un directorio. Las reglas que importan:

  • Copia el directorio de datos completo (db.sqlite3, attachments/, rsa_key* — las claves RSA son necesarias o todas las sesiones/2FA se rompen al restaurar). Para SQLite usa sqlite3 db.sqlite3 ".backup ...", no una copia cruda del fichero vivo.
  • Manda los backups fuera del servidor — restic o borg hacia otra máquina o almacenamiento compatible S3, cifrados. Un backup en el mismo disco es una copia, no un backup.
  • Prueba una restauración cada trimestre. Levanta un contenedor desechable desde el backup, inicia sesión, ve las entradas. Un backup sin probar es una esperanza, no un plan.
rocket_launch Elección rápida

¿Buscas un servidor que simplemente funcione?

Valebyte VPS — NVMe, soporte 24/7, despliegue en 60 segundos.

Ver planes VPS arrow_forward

Dónde alojarlo

Racionalmente sirve cualquier VPS diminuto en una jurisdicción estable: el cifrado E2E de Vaultwarden significa que el host nunca ve tus secretos — solo importa la disponibilidad. Elecciones prácticas: un VPS pequeño en la UE (jurisdicción GDPR, cerca de ti) o acomodarlo en una máquina existente — es lo bastante ligero para compartir servidor con un PaaS o un stack de monitorización. Para el nivel de paranoia corporativa (bóveda de empresa, compliance), un dedicado de $25–35 del catálogo da aislamiento físico por menos que dos asientos de Bitwarden Enterprise.

Conclusión

Vaultwarden es uno de los servicios autoalojados de mayor valor por megabyte que existen: UX completa de Bitwarden, hardware trivial, un contenedor. Invierte el esfuerzo ahorrado exactamente donde apunta esta guía — HTTPS, admin cerrado, registros cerrados, backups externos probados — y funcionará en silencio durante años. Hechos verificados el 8 de julio de 2026.

Compartir esta publicación:

support_agent
Valebyte Support
Usually replies within minutes
Hi there!
Send us a message and we'll reply as soon as possible.