PwdFortress
self-hosted-password-managerINFO

Gestor de contraseñas open source 2026: la guía honesta (Bitwarden, KeePassXC…)

Qué es realmente un gestor de contraseñas open source, por qué importa (código auditable, sin lock-in, confianza verificable), los auténticos — Bitwarden, KeePassXC, KeePass, Vaultwarden, Proton Pass — y cómo elegir. Con los límites honestos.

Por Eric Gerard · Editor · PwdFortress6 min de lecturaFoto vía Unsplash

«Open source» es una de las etiquetas más tranquilizadoras que puede llevar un gestor de contraseñas — y una de las peor entendidas. Esta guía explica qué significa de verdad, por qué importa para algo tan sensible como tus contraseñas, qué gestores son realmente open source en 2026 y cómo elegir uno. También es honesta sobre lo que el open source no garantiza.

La respuesta corta

  • Open source = el código es público y auditable. Cualquiera puede leer cómo la app cifra y almacena tu bóveda.
  • El más completo: Bitwarden — open source (GPL), auditado de forma independiente, plan gratuito ilimitado, autoalojable.
  • El mejor totalmente offline: KeePassXC — archivo cifrado local, sin nube, con licencia GPL.
  • El original: KeePass — el proyecto histórico de Windows que dio origen al ecosistema.
  • La vía autoalojada: Vaultwarden — servidor comunitario que habla el protocolo de Bitwarden.
  • Parcialmente abierto: Proton Pass — apps cliente open source; servidor propietario.

Qué significa «open source» aquí, en concreto

Un gestor open source publica su código fuente bajo una licencia libre (a menudo la GPL). Eso te aporta tres beneficios concretos:

  • Auditabilidad. Los investigadores de seguridad — y tú, si lees código — pueden inspeccionar exactamente cómo la app deriva tu clave de cifrado y almacena tu bóveda. Las apps cerradas te piden confiar en su descripción; las abiertas te dejan verificarla.
  • Sin bloqueo en el formato. Los proyectos abiertos usan formatos de bóveda documentados, así que no quedas atrapado si quieres migrar o autoalojarte.
  • Confianza verificable. Cuando el cifrado se implementa a la vista de todos, las debilidades se encuentran y corrigen más rápido, y la comunidad puede confirmar que no hay una puerta trasera oculta.

Una aclaración importante: el open source es transparencia del código, no precio ni alojamiento. Un gestor open source puede ofrecer planes de pago y funcionar tanto en la nube como en tu propio servidor. Ambas ideas suelen solaparse, pero no son lo mismo.

Una pantalla de portátil mostrando código fuente coloreado en un editor oscuro — código open source que cualquiera puede leer y auditar.
Una pantalla de portátil mostrando código fuente coloreado en un editor oscuro — código open source que cualquiera puede leer y auditar.

Las opciones realmente open source en 2026

Bitwarden — la elección open source por defecto

Bitwarden es open source bajo GPL, con sus clientes, servidor y SDK publicados en GitHub. Ha sido auditado de forma independiente (incluida una revisión de Cure53), ofrece un plan gratuito realmente ilimitado en dispositivos ilimitados y puede autoalojarse. Para la mayoría que quiere open source sin renunciar a la comodidad ni a la sincronización entre dispositivos, es la elección natural. Nuestro análisis completo de Bitwarden profundiza más.

KeePassXC — el mejor totalmente offline

KeePassXC es un gestor multiplataforma impulsado por la comunidad (con licencia GPL) que guarda todo en un único archivo cifrado .kdbx. Sin nube ni servidor — tú conservas el archivo y lo sincronizas tú mismo si quieres. Es la opción más privada y local, ideal para usuarios avanzados que quieren control total del archivo. La contrapartida: una curva de aprendizaje más pronunciada y sincronización manual.

KeePass — el original

KeePass es el proyecto histórico de Windows open source (GPL) que definió el formato .kdbx que usa toda la familia KeePass. Es menos pulido que la interfaz moderna y multiplataforma de KeePassXC, pero sigue siendo una base respetada y auditada sobre la que se apoya un amplio ecosistema de apps compatibles.

Vaultwarden — autoalojamiento open source

Vaultwarden es un servidor comunitario escrito en Rust que reimplementa la API de Bitwarden. Es open source, funciona en un único contenedor ligero (incluso en una Raspberry Pi) y trabaja con las apps oficiales de Bitwarden — así obtienes una bóveda abierta y autoalojada sin ejecutar el servidor oficial de Bitwarden, más pesado. Nuestro tutorial de autoalojamiento de Vaultwarden detalla toda la instalación.

Proton Pass — parcialmente abierto

Proton Pass abrió el código de sus apps cliente (web, móvil y extensiones de navegador) bajo GPL, lo que significa que el código que se ejecuta en tus dispositivos puede inspeccionarse. Sin embargo, su servidor no es open source — así que es «parcialmente abierto» en lugar de totalmente abierto como Bitwarden. Sigue teniendo cifrado de extremo a extremo y un buen plan gratuito; solo conviene tener clara la distinción. Comparamos ambos en Proton Pass vs Bitwarden.

Por qué elegir open source para tus contraseñas

  • Guardas el dato más sensible que posees. Para una bóveda de contraseñas, «confía en mí» es una promesa débil. El código abierto permite comprobar esa confianza en vez de presumirla.
  • Auditorías y código abierto se refuerzan. Las auditorías independientes (como las que Bitwarden ha publicado) validan una instantánea; el open source mantiene el código bajo revisión comunitaria continua entre auditorías.
  • Libertad para marcharte. Formatos abiertos y opciones de autoalojamiento: nunca eres rehén de los precios o las condiciones de una sola empresa.
Prueba Bitwarden — open source y auditado →Con licencia GPL · auditado (Cure53) · plan gratuito ilimitado · autoalojable vía Vaultwarden

Los límites honestos del «open source»

El open source es una ventaja real, pero no es una garantía por sí solo:

  • Código abierto ≠ auditado automáticamente. Cualquiera puede leer el código; eso no significa que los expertos ya lo hayan hecho. La mayor garantía es open source más una auditoría independiente publicada.
  • Sigues necesitando una contraseña maestra fuerte y MFA. Ningún código abierto salva una contraseña maestra débil o reutilizada. Mira cómo crear una contraseña segura.
  • El autoalojamiento traslada la responsabilidad a ti. Ejecutar tu propio servidor (Vaultwarden, Bitwarden self-host) implica encargarte de actualizaciones, TLS y copias de seguridad. Una bóveda autoalojada mal configurada puede ser menos segura que un servicio gestionado de confianza.
  • «Abierto» puede ser parcial. Como con Proton Pass, quizá solo una parte de la pila sea abierta. Comprueba si es el cliente, el servidor o ambos.

Cómo elegir

  • ¿Quieres open source que «funcione en todas partes» sin esfuerzo? Bitwarden — abierto, auditado, plan gratuito, autoalojamiento opcional.
  • ¿Quieres cero nube y control total del archivo? KeePassXC (o KeePass en Windows).
  • ¿Quieres autoalojar una bóveda abierta? Vaultwarden, con los clientes de Bitwarden.
  • ¿Quieres cifrado de extremo a extremo con apps cliente abiertas y alias integrados? Proton Pass — recordando que su servidor no es abierto.

En resumen

En 2026, la opción open source más segura para la mayoría es Bitwarden: su código es público, ha sido auditado de forma independiente, el plan gratuito es realmente ilimitado y puedes autoalojarlo. KeePassXC y KeePass ganan en control totalmente offline basado en archivo, y Vaultwarden aporta el autoalojamiento abierto. Trata Proton Pass como parcialmente abierto. Y recuerda la advertencia honesta: el open source es una potente señal de confianza, pero una contraseña maestra fuerte y la MFA siguen haciendo el trabajo más pesado.

Para profundizar

Resumen editorial basado en la licencia, las auditorías y la arquitectura públicamente documentadas de cada gestor en 2026. Los enlaces comerciales llevan el atributo rel="sponsored nofollow"; puede aplicarse una comisión de afiliación sin coste adicional para ti.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Probar NordPass30 días de garantía de reembolso · Plan gratis disponible