¿Vaultwarden es realmente compatible con los clientes Bitwarden oficiales?

**Sí, al 100 %**. Vaultwarden (antes bitwarden_rs) es una reescritura Rust del servidor Bitwarden que implementa la API oficial. Los clientes Bitwarden (web, desktop, móvil, navegadores, CLI) se conectan a tu servidor Vaultwarden apuntando simplemente a tu URL personalizada. Sin pérdida de funcionalidad en cliente. El único caso donde Vaultwarden se rezaga ligeramente: algunas funciones Enterprise muy recientes pueden tardar 1-2 meses.

¿Qué hardware para self-host Vaultwarden?

**Mínimo viable**: Raspberry Pi 4 (2 GB RAM, microSD 32 GB) o cualquier VPS a 3-5 €/mes (Contabo, OVH, Hetzner CX11). **Cómodo**: Raspberry Pi 4 (4 GB RAM, SSD USB 3.0) o VPS 4 GB RAM. Vaultwarden consume ~100 MB RAM idle, ~200 MB pico. El almacenamiento depende de adjuntos: ~50 MB para 500 entradas sin adjuntos.

¿TLS / HTTPS es obligatorio para Vaultwarden?

**Sí, absolutamente**. Los clientes Bitwarden rechazan conectarse a un servidor HTTP no cifrado (excepto localhost dev). Debes desplegar un certificado TLS. Solución estándar: Let's Encrypt vía certbot (gratis, auto-renovación) con proxy nginx o Caddy. Nuestro tutorial detalla la opción Caddy (más simple: 1 línea de config gestiona el HTTPS auto).

¿Cómo respaldar Vaultwarden de manera fiable?

Vaultwarden almacena sus datos en SQLite (por defecto) o PostgreSQL/MySQL (opción). Backup mínimo: copiar el archivo db.sqlite3 regularmente a almacenamiento externo. Solución avanzada: usar litestream (replicación SQLite continua a S3). Nuestra recomendación: cronjob horario que zip el directorio data y lo sube cifrado a Backblaze B2.

¿Vaultwarden Self-Host o Bitwarden Cloud Oficial?

**Vaultwarden self-host**: cero coste recurrente si ya tienes servidor, control total de los datos, pero te haces responsable de uptime/copias/seguridad. **Bitwarden oficial hosted**: 10 USD/año para Premium, datos cifrados zero-knowledge en Bitwarden, equipo pro gestiona infra/copias/actualizaciones. Recomendación: self-host si eres sysadmin/devops profesional. Bitwarden hosted en los demás casos.

Self-host Vaultwarden: tutorial completo 2026 (Docker, Raspberry Pi, TLS)

📌 Self-host NO es para todos: antes de empezar, sé honesto — ¿estás listo para gestionar reverse proxy, certificados TLS, backups cifrados y actualizaciones Docker cada mes? Si la respuesta es « no realmente », una bóveda gestionada como NordPass a 1,49 €/mes te costará menos que una caída de Raspberry Pi durante tus vacaciones. Si sí, este tutorial es para ti.

Vaultwarden es la reescritura Rust open source del servidor Bitwarden, diseñada para correr en hardware modesto (Raspberry Pi 4 basta). Este tutorial detalla un despliegue production-grade con Docker Compose, proxy Caddy automático HTTPS, y copias Backblaze B2 cifradas.

Vaultwarden hace correr tu bóveda Bitwarden en tu propio hardware. Compatible 100 % con clientes oficiales. Setup en 30 minutos si dominas Docker.

01 — Prerrequisitos

Un servidor Linux (Raspberry Pi 4, VPS, o homelab) con Docker instalado
Un nombre de dominio apuntando a la IP pública del servidor (ej.: vault.tudominio.com)
Puerto 443 abierto en firewall / NAT
30 minutos
~50 MB almacenamiento para Vaultwarden + tus datos futuros

02 — Arquitectura objetivo

Internet → Cloudflare (opcional) → Caddy reverse proxy con Let's Encrypt automático → Container Vaultwarden. Datos almacenados en el host en /srv/vaultwarden/data.

Caddy gestiona HTTPS automáticamente vía Let's Encrypt. Vaultwarden corre en un container Docker aislado.

03 — Docker Compose

Crea el archivo /srv/vaultwarden/docker-compose.yml. La configuración usa la imagen oficial vaultwarden/server:latest, expone la variable DOMAIN apuntando a tu URL HTTPS, desactiva inscripciones externas con SIGNUPS_ALLOWED: false, activa WebSockets para sync en tiempo real, y monta un volumen ./data para persistencia.

La configuración Caddy es minimalista: una sola directiva reverse_proxy vaultwarden:80 más cabeceras de seguridad estándar (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy).

El ADMIN_TOKEN se genera con openssl rand -base64 48 (a reportar en tu config local solamente, nunca comiteado).

04 — Arrancar Vaultwarden

Lanza el servicio con docker compose up -d desde el directorio /srv/vaultwarden, luego verifica los logs con docker compose logs -f vaultwarden. Caddy obtiene un certificado Let's Encrypt automáticamente en 30 segundos (visible en docker compose logs caddy).

05 — Primera conexión + securización

Abre https://vault.tudominio.com en tu navegador
Crea tu cuenta (la única permitida: signups cerrados después)
INMEDIATAMENTE: Settings → Security → Two-step Login → activar TOTP
INMEDIATAMENTE: verificar que SIGNUPS_ALLOWED esté en false
Prueba el autofill con tu navegador apuntando a tu URL personalizada

06 — Copias automáticas

Un script bash horario snapshot la base SQLite (coherente sin parar servicio), zip el directorio completo, cifra con GPG cliente (recipient = tu email), y sube a Backblaze B2 (~1 €/mes para 100 GB).

La secuencia:

docker exec vaultwarden sqlite3 /data/db.sqlite3 ".backup '/tmp/db_DATE.sqlite3'" para snapshot coherente
tar czf para archivar
gpg --encrypt --recipient tu@email.com para cifrado cliente
b2 upload-file para subida remota
Limpieza local

Crontab: 0 * * * * /usr/local/bin/vaultwarden-backup.sh

Prueba mensual: restaurar un backup en instancia dev para verificar integridad.

07 — Conectar clientes Bitwarden oficiales

En cada cliente Bitwarden (móvil, desktop, navegador), antes de conectarte:

Click en el engranaje Settings (antes de login)
Server URL: https://vault.tudominio.com
Guardar
Conectar con tu master password

Todos los clientes funcionan exactamente como con el cloud Bitwarden oficial.

08 — Mantenimiento

Actualizaciones Vaultwarden: docker compose pull && docker compose up -d (mensual recomendado)
Monitorización: Uptime Kuma (auto-hospedado) o Healthchecks.io (gratis) para alertas downtime
Logs: docker compose logs --tail 200 vaultwarden
Auditoría: seguir github.com/dani-garcia/vaultwarden por CVEs potenciales

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Ver NordPass Premium →1,49 €/mes · Sin mantenimiento · Auditado Cure53 + SOC 2→

09 — Para profundizar

Análisis Bitwarden 2026 completo
Ranking mejores gestores de contraseñas 2026 — compara bóvedas cloud gestionadas si el self-hosting te parece excesivo
Mejores alternativas LastPass 2026 — para equipos que migran desde LastPass antes de decidir sobre el self-host
Metodología pública

Tutorial basado en Vaultwarden 1.31.x en Raspberry Pi 4 (Debian 12) en junio 2026. Procedimientos probados en 2 instancias de producción en paralelo durante 8 meses.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Probar NordPass30 jours satisfait ou remboursé · Plan gratuit disponible→