Vaultwarden es la razón por la que «gestor de contraseñas autoalojado» dejó de ser deporte de entusiastas: reimplementa la API del servidor Bitwarden en Rust, de modo que cada cliente oficial de Bitwarden — extensiones, apps móviles, escritorio, CLI — funciona sin modificar, mientras el servidor reposa en 50–256 MB de RAM en lugar del stack oficial multigigabyte. Un VPS de clase $5 lo ejecuta para una familia; uno de $15, para una empresa. La instalación es un contenedor; lo que merece ingeniería es HTTPS, la superficie de administración y los backups.
Qué necesita en realidad
| Despliegue | CPU | RAM | Disco |
|---|---|---|---|
| Personal / familia (2–10 usuarios) | 1 vCPU | 512 MB total con SO | 1–2 GB (bóveda + adjuntos) |
| Empresa pequeña (10–100) | 2 vCPU | 1–2 GB | 5–20 GB (adjuntos, sends) |
| Con Postgres/MariaDB en vez de SQLite | 2 vCPU | +512 MB | igual |
SQLite es el default y — opinión impopular, respaldada por los mantenedores — vale para la inmensa mayoría de instancias: la carga de escritura de un gestor de contraseñas es trivial. Pasa a Postgres con cientos de usuarios o si ya tienes disciplina de point-in-time recovery en otro sitio.
Las tres trampas que muerden de verdad
- HTTPS no es opcional. La bóveda web y las extensiones usan WebCrypto, que los navegadores solo habilitan en contextos seguros — por HTTP plano el login simplemente falla. Pon Vaultwarden tras Caddy (dos líneas de config, Let's Encrypt automático) o nginx + certbot. Nunca expongas el puerto del contenedor directamente.
- El panel de admin es un arma cargada.
/admincon un token débil equivale a compromiso total de la bóveda. Genera el token como hash argon2 (vaultwarden hash), o mejor: deja ADMIN_TOKEN sin definir (panel desactivado) y actívalo solo cuando haga falta. - Registros abiertos. Por defecto cualquiera que encuentre la URL puede registrarse. Tras crear tus cuentas pon
SIGNUPS_ALLOWED=falsey usa invitaciones — los escáneres de internet encuentran instancias de Vaultwarden a las horas de que el DNS esté vivo.
Backups: la parte que la gente se salta y lamenta
Autoalojar un gestor de contraseñas concentra toda tu vida digital en un directorio. Las reglas que importan:
- Copia el directorio de datos completo (
db.sqlite3,attachments/,rsa_key*— las claves RSA son necesarias o todas las sesiones/2FA se rompen al restaurar). Para SQLite usasqlite3 db.sqlite3 ".backup ...", no una copia cruda del fichero vivo. - Manda los backups fuera del servidor — restic o borg hacia otra máquina o almacenamiento compatible S3, cifrados. Un backup en el mismo disco es una copia, no un backup.
- Prueba una restauración cada trimestre. Levanta un contenedor desechable desde el backup, inicia sesión, ve las entradas. Un backup sin probar es una esperanza, no un plan.
¿Buscas un servidor que simplemente funcione?
Valebyte VPS — NVMe, soporte 24/7, despliegue en 60 segundos.
Dónde alojarlo
Racionalmente sirve cualquier VPS diminuto en una jurisdicción estable: el cifrado E2E de Vaultwarden significa que el host nunca ve tus secretos — solo importa la disponibilidad. Elecciones prácticas: un VPS pequeño en la UE (jurisdicción GDPR, cerca de ti) o acomodarlo en una máquina existente — es lo bastante ligero para compartir servidor con un PaaS o un stack de monitorización. Para el nivel de paranoia corporativa (bóveda de empresa, compliance), un dedicado de $25–35 del catálogo da aislamiento físico por menos que dos asientos de Bitwarden Enterprise.
Conclusión
Vaultwarden es uno de los servicios autoalojados de mayor valor por megabyte que existen: UX completa de Bitwarden, hardware trivial, un contenedor. Invierte el esfuerzo ahorrado exactamente donde apunta esta guía — HTTPS, admin cerrado, registros cerrados, backups externos probados — y funcionará en silencio durante años. Hechos verificados el 8 de julio de 2026.