storage-p

Mejores gestores de contraseñas autoalojados en 2026 (código abierto)

Autoalojar un gestor de contraseñas mantiene tus credenciales fuera de los servidores de otras empresas y bajo tu propio control. Estas son las opciones más sólidas de 2026, en qué destaca cada una y dónde encaja storage-p.

Qué buscar

Un buen gestor autoalojado te da control real sin añadir riesgos nuevos: cifrado de extremo a extremo (conocimiento cero) para que el servidor nunca vea el texto en claro, un despliegue sencillo (idealmente un solo contenedor Docker), un funcionamiento interno abierto o transparente y una estrategia razonable de copias de seguridad y recuperación. La contrapartida es que los parches y la disponibilidad pasan a ser responsabilidad tuya.

Vaultwarden

Un servidor ligero compatible con Bitwarden, escrito en Rust, que consume bastante menos de 50 MB de RAM y se ejecuta desde un único contenedor Docker. Funciona con todos los clientes oficiales de Bitwarden, lo que lo convierte en la elección por defecto para particulares y familias que quieren las apps de Bitwarden sin el pesado servidor oficial.

Bitwarden (autoalojado oficial)

El servidor oficial es el estándar empresarial — auditorías anuales de terceros, SSO, sincronización de directorio y políticas de organización —, pero es más pesado de ejecutar y mantener (2 GB o más de RAM y una base de datos real). Elígelo cuando necesites funciones de cumplimiento y soporte del proveedor.

Passbolt

De código abierto y pensado para equipos en torno a un modelo de clave pública-privada OpenPGP, con compartición granular por recurso. Desarrollado en la UE (Luxemburgo), su Community Edition es gratuita y autoalojable. La mejor opción cuando la prioridad es compartir de forma segura dentro de un equipo.

Psono

Un gestor autoalojado orientado a empresas, con SAML/LDAP, registros de auditoría y políticas de cumplimiento. Gratuito para equipos pequeños; los despliegues mayores se facturan por usuario. Se publica bajo licencia Apache-2.0.

KeePassXC (opción sin servidor)

No es un servidor en absoluto: un único archivo cifrado KDBX (AES-256) que tú mismo sincronizas (Syncthing, Nextcloud). Cero superficie de ataque de servidor y compatibilidad con llaves físicas, a cambio de sincronizar entre dispositivos a mano.

Dónde encaja storage-p

storage-p es una bóveda autoalojada y de conocimiento cero: tu clave se deriva en el navegador con Argon2id y el servidor solo almacena texto cifrado con XChaCha20-Poly1305, con la base de datos cifrada además en reposo mediante SQLCipher. Más allá de las contraseñas, guarda claves SSH/TLS, claves API y TOTP, genera claves Ed25519 en el cliente y emite tokens API acotados cuyas lecturas pueden exigir tu confirmación desde la app o por Telegram. Se despliega como un contenedor detrás de Caddy.

Cómo elegir

Quieres las apps de Bitwarden con recursos mínimos: Vaultwarden. Necesitas cumplimiento empresarial: Bitwarden oficial. Compartir en equipo ante todo: Passbolt o Psono. Nada de servidor: KeePassXC. Conocimiento cero del lado del navegador más claves SSH/TLS, API y TOTP en una única bóveda que controlas: storage-p.