Vaultwarden en tu NAS: El Gestor de Contraseñas que Te Libera de las Suscripciones

16 de marzo de 2026 Jacobo D. Tutoriales 0

Vaultwarden en tu NAS: El Gestor de Contraseñas que Te Libera de las Suscripciones

Cada vez que lees sobre una nueva filtración de datos — LastPass en 2022, la reciente brecha de [inserte aquí cualquier servicio] — la misma pregunta resuena: ¿por qué confío mis contraseñas a terceros? La respuesta de la comunidad self-hosted lleva años siendo la misma: aloja tu propio gestor. Pero aquí surge el dilema: Bitwarden oficial es un tanque de recursos, y las funciones avanzadas cuestan dinero.

Entra en escena Vaultwarden: la versión ligera, en Rust, 100% compatible con clientes Bitwarden, que consume una fracción de recursos y desbloquea todas las funciones premium sin pagar un euro. Si tienes un NAS con Docker, en 15 minutos puedes tener tu propio fortress de contraseñas. Sin suscripciones. Sin vendor lock-in. Sin excusas.

¿Qué es Vaultwarden exactamente?

Vaultwarden es una reimplementación no oficial del servidor Bitwarden escrita en Rust. No es un fork de código oficial — es un proyecto paralelo que recrea la API de Bitwarden desde cero, priorizando eficiencia y simplicidad. El resultado es impresionante:

  • Consumo de RAM: ~10-30 MB vs 1-2 GB de Bitwarden oficial
  • Base de datos: SQLite por defecto (MySQL/PostgreSQL opcional)
  • Imagen Docker: ~30 MB vs varios GB
  • Funciones premium incluidas: TOTP, carpetas ilimitadas, 2FA avanzado, informes de seguridad, claves de acceso (passkeys)

La magia está en la compatibilidad total: usas las aplicaciones oficiales de Bitwarden en móvil, escritorio y navegador. El servidor es transparente. Para tus dispositivos, es Bitwarden. Para tu NAS, es una gota en el océano de recursos.

CaracterísticaVaultwardenBitwarden Self-Hosted
RAM típica10-50 MB1-4 GB
Almacenamiento~100 MB~10 GB+
Base de datosSQLite (por defecto)SQL Server / PostgreSQL
TOTP integrado✅ Gratis❌ Requiere licencia
Passkeys (FIDO2)✅ Gratis❌ Requiere licencia
2FA YubiKey✅ Gratis❌ Requiere licencia
Colecciones ilimitadas✅ Gratis❌ Requiere licencia
Soporte oficial❌ Comunidad✅ Empresarial

¿Por qué en tu NAS y no en la nube?

La pregunta válida: si Bitwarden ofrece hosting gratuito, ¿para qué complicarse? Tres razones fundamentales:

1. Control absoluto de tus datos
Tu caja fuerte de contraseñas vive en hardware que controlas. No dependes de políticas de privacidad que cambian, ni de que una empresa mantenga el servicio. En un mundo donde los servicios gratuitos mutan o desaparecen, self-hosting es soberanía digital.

2. Las funciones «premium» sin pagar
El TOTP integrado (autenticación de dos factores dentro del propio gestor), el soporte para passkeys FIDO2, los informes de contraseñas expuestas — todo esto cuesta $10/año en Bitwarden oficial. En Vaultwarden viene activado por defecto. Para una familia de 5 usuarios, eso son $50/año ahorrados.

3. Aprendizaje y flexibilidad
Montar Vaultwarden te enseña Docker, reverse proxies, SSL, backups automatizados. Es un proyecto de entrada perfecto al mundo self-hosted: útil desde día uno, lo suficientemente simple para no frustrar, lo suficientemente completo para sentirte satisfecho.

Instalación en Docker: La forma más sencilla

Si tu NAS soporta Docker (Synology, QNAP, UGREEN, TrueNAS, cualquier Linux), la instalación es trivial. No necesitas compilar nada ni tocar archivos de configuración complejos.

Paso 1: Docker Compose básico

version: '3'
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    environment:
      - WEBSOCKET_ENABLED=true
      - SIGNUPS_ALLOWED=false  # Cambiar a true temporalmente para crear tu cuenta
      - ADMIN_TOKEN=${ADMIN_TOKEN}
    volumes:
      - ./vw-data:/data
    ports:
      - 80:80

La variable ADMIN_TOKEN es clave: te da acceso a un panel de administración donde gestionas usuarios, configuras políticas de seguridad y revisas logs. Genera un token fuerte con: openssl rand -base64 48

Paso 2: Reverse proxy y SSL

No expongas Vaultwarden directamente. Usa Nginx Proxy Manager, Traefik, o el reverse proxy de tu NAS para terminar SSL. Necesitas:

  • Un dominio (puede ser gratuito de DuckDNS si no tienes)
  • Certificado SSL (Let’s Encrypt gratuito)
  • WebSocket habilitado (para sincronización en tiempo real)

En Nginx Proxy Manager, la configuración es estándar: proxy a http://vaultwarden:80, WebSocket support activado, SSL forzado.

Paso 3: Primer acceso y registro

Con SIGNUPS_ALLOWED=true, visita tu dominio y crea la cuenta principal. Guarda bien la contraseña maestra — no hay «restablecer contraseña» en self-hosted. Luego desactiva registros: SIGNUPS_ALLOWED=false y reinicia el contenedor.

Paso 4: Panel de administración

Accede a https://tu-dominio/admin con tu ADMIN_TOKEN. Desde aquí puedes:

  • Ver estadísticas de uso
  • Forzar 2FA para todos los usuarios
  • Deshabilitar invitaciones
  • Revisar logs de acceso
  • Gestionar organizaciones (compartir contraseñas en familia/equipo)

Backups: Tu póliza de seguro obligatoria

Un error común: montar Vaultwarden, llenarlo de contraseñas, y olvidarse de los backups. Si falla el disco de tu NAS, pierdes TODO. Estrategia mínima viable:

Backup 1: Volúmenes Docker
El directorio ./vw-data contiene SQLite, archivos adjuntos y configuración. Backup diario automatizado con restic, duplicity, o el sistema de snapshots de tu NAS.

Backup 2: Export periódico
Desde la web de Vaultwarden, exporta tu caja fuerte a formato cifrado JSON o CSV (no cifrado). Guárdalo en múltiples lugares: NAS secundario, USB offline, caja fuerte digital. El formato JSON cifrado puede importarse en cualquier instancia Bitwarden/Vaultwarden.

Backup 3: Configuración
Tu docker-compose.yml, variables de entorno, y configuración de reverse proxy. Sin esto, reconstruir el servicio es adivinar.

Clientes: Todas las plataformas, sin excepciones

La belleza de Vaultwarden es que usas el ecosistema oficial de Bitwarden:

  • Navegadores: Extensión oficial de Chrome/Firefox/Edge/Safari
  • Móvil: Apps oficiales iOS y Android
  • Escritorio: Aplicaciones nativas Windows, macOS, Linux
  • CLI: Para automatizaciones y power-users

Configuración: en cada cliente, cambia la URL del servidor a tu dominio self-hosted. El resto funciona exactamente igual.

Casos de uso reales: ¿quién se beneficia?

Familias (organización gratuita)
Crea una organización, invita a cónyuge/hijos/padres. Comparte contraseñas de streaming, WiFi, cuentas bancarias compartidas. Cada miembro tiene su caja fuerte privada + colecciones compartidas. Sin límite de usuarios, sin cuota de almacenamiento artificial.

Freelancers y pequeños equipos
Gestiona credenciales de clientes, servidores, APIs. Comparte seguro con subcontractors sin revelar contraseñas (acceso con permisos de solo-ver). El historial de cambios te salva cuando alguien actualiza una contraseña y olvida documentarlo.

Paranoicos de la privacidad
Tus contraseñas nunca tocan servidores de terceros. El TOTP integrado significa que ni siquiera tus códigos 2FA dependen de Google/Microsoft/Authy. Todo en tu hardware, en tu red, bajo tu control.

Limitaciones que debes conocer

No todo es perfecto. Vaultwarden tiene trade-offs:

  • Sin soporte oficial: Si algo falla, Reddit y GitHub son tu única ayuda. No hay chat 24/7 ni SLA.
  • Dependencia del proyecto: Si los mantenedores abandonan el proyecto, necesitarás migrar. Aunque con exportación JSON estándar, el riesgo es mínimo.
  • Single Sign-On (SSO) empresarial: Vaultwarden no soporta SSO SAML/OIDC complejo. Para empresas grandes, Bitwarden oficial tiene ventaja.
  • Audit logs avanzados: Las empresas con requisitos de compliance estrictos necesitan Bitwarden oficial con su sistema de logs empresarial.

Para uso personal y pequeños equipos, ninguna de estas limitaciones es relevante.

Veredicto final

Si tienes un NAS con Docker, Vaultwarden es una de las mejores inversiones de tiempo que puedes hacer. En 30 minutos de setup obtienes un gestor de contraseñas enterprise-grade, con todas las funciones premium, que consume menos recursos que un navegador con una pestaña abierta.

La pregunta no es si merece la pena — la pregunta es por qué sigues pagando suscripciones o confiando tus secretos más valiosos a servicios que no controlas.

Para quién es: Usuarios de NAS que quieren control total, familias que comparten contraseñas, anyone harto de suscripciones por funciones básicas.

Para quién NO es: Empresas que necesitan SSO complejo, compliance estricto, o soporte con SLA garantizado.

Instálalo este fin de semana. En una semana te preguntarás por qué no lo hiciste antes.

Publicaciones relacionadas:

  1. La Estrategia de Backup 3-2-1 para tu NAS: Guía Práctica 2026
  2. Docker en NAS: Las 15 Mejores Aplicaciones Imprescindibles para 2026
  3. NAS DIY vs NAS Comercial: ¿Cuál Te Conviene en 2026?
  4. Paperless-ngx en NAS: Tu Archivo Digital Inteligente con OCR y Búsqueda [2026]

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*