Las 10 mejores bóvedas de contraseñas open source para tu empresa en 2026

El otro día salió la noticia en muchísimos medios y redes sociales sobre que «Bitwarden ha sido hackeado«, lo cierto es que hubo mucho titular, pero realmente no hubo tanto riesgo, los atacantes modificaron el CLI de Bitwarden (durante hora y media) lo que comprometió a aquellos usuarios que descargaron Bitwarden CLI en ese tiempo (la versión 2026.4.0) aún así la noticia corrió como la pólvora y, aunque personalmente no uso bitwarden (soy más de guardar las contraseñas en local con KeePassXC) sí que estuve viendo alternativas cuando hace falta compartir contraseñas entre un equipo de personas (un departamento, personal externo al equipo, etc.) y me pareció interesante hacer una lista de los mejores sistemas para esto, de más sencillo y simple, hasta los más completos y complejos.

Hay que decir que la lista de esas herramientas son todas software libre, y garantizan las contraseñas con varios cifrados para no exponer físicamente la contraseña ni el hash salvo que conozcas otras contraseñas previas. Es lo que viene siendo un vault (una bóveda) donde hacen falta varias claves para poder acceder al verdadero almacenamiento de las contraseñas y aún así, no todos los usuarios pueden acceder a todas las contraseñas, únicamente a aquellas a las que tengan permiso.

Por motivos de trabajo (ISO27001 y demás) he tenido que probar varias de estas herramientas y, aunque es cierto que muchas empresas utilizan sistemas comerciales donde el alojamiento está fuertemente securizado en sistemas remotos controlados por la empresa (así la seguridad, actualizaciones e inviolabilidad está garantizada por la empresa a la que se le está pagando el servicio) hay muchas empresas que prefieren almacenar las contraseñas en local (sin acceso a Internet o con acceso restringido a la red corporativa mediante VPN o similar). Esto tiene un punto peligroso y es que un bug, que puede ser explotado por un atacante, o estamos muy encima de los sistemas y actualizamos rápidamente la aplicación, o puede ser explotado y, literalmente, es el sistema que almacena todas las contraseñas de nuestra empresa, por lo que podría ser bastante peligroso si no actuamos rápido en este caso.

A continuación vamos a ver la lista de bóvedas de contraseñas más útiles según el grado de dificultad y flexibilidad que necesitemos:

1. KeePassXC

Esta aplicación no puede ser más simple: un único fichero .kdbx cifrado, sin servidor, sin base de datos, sin mantenimiento. La compartición «en grupo» se hace dejando el fichero en una carpeta compartida (Nextcloud, Samba, Syncthing). Ideal como punto de entrada o fallback offline. 2FA mediante YubiKey/llaves hardware y TOTP integrado.

Se integra con navegadores (Firefox, Chrome/Edge/Brave, KeePassXC-Browser) para el acceso rápido a contraseñas según la página y con otras aplicaciones como KeePassDX (Android), Strongbox/KeePassium (iOS), SSH agent, Auto-Type universal.

https://keepassxc.org

 

2. Vaultwarden

Reimplementación no oficial del servidor Bitwarden escrita en Rust, pensada para autohospedaje ligero. Consume unos 50 MB de RAM, se despliega en un único contenedor Docker en menos de 5 minutos y desbloquea gratuitamente funciones que en Bitwarden oficial son de pago: organizaciones, colecciones, grupos y compartición avanzada. Compatible al 100 % con todos los clientes oficiales de Bitwarden. Autenticación de dos factores mediante TOTP, WebAuthn/Passkeys, YubiKey, Duo y correo electrónico.

Se integra con los clientes oficiales de Bitwarden (web, escritorio Windows/Mac/Linux, iOS, Android, CLI), extensiones para Chrome/Firefox/Edge/Safari/Opera, CLI bw para pipelines CI/CD y SSO mediante proxy.

https://github.com/dani-garcia/vaultwarden

 

3. Padloc

Gestor de contraseñas open source con la interfaz más cuidada y moderna del comparativo. Self-hosting sencillo mediante Docker Compose. Diseñado desde el origen para compartir secretos en grupos pequeños con cifrado de extremo a extremo. Excelente equilibrio para equipos que priorizan la experiencia de usuario y el diseño frente a la complejidad de Bitwarden.

Se integra con apps web, Windows, macOS, Linux, iOS y Android, extensión de navegador, API propia, WebAuthn/Passkeys y TOTP integrado.

https://padloc.app

 

4. Bitwarden (self-hosted oficial)

La versión oficial de Bitwarden para autohospedaje: auditada formalmente por Cure53 y otros y con la mejor experiencia de cliente del ecosistema open source. Más exigente en recursos que Vaultwarden (requiere 2 GB+ de RAM), pero incluye SSO empresarial con SAML/OIDC, aprovisionamiento SCIM, integración con LDAP/Active Directory y políticas de seguridad avanzadas listas para usar. La opción recomendada cuando el peso es la certificación, el soporte oficial y el compliance sobre la simplicidad.

Se integra con SSO SAML/OIDC, SCIM, LDAP/AD, todas las extensiones y apps oficiales, CLI bw, API REST, Directory Connector e integración con Splunk/Datadog para auditoría de logs.

https://bitwarden.com

 

5. Passbolt Community Edition

Gestor de contraseñas open source diseñado específicamente para equipos. Utiliza cifrado de extremo a extremo con OpenPGP: la clave privada nunca abandona el dispositivo del usuario. Permite compartir credenciales de forma granular por contraseña individual o carpeta, con permisos heredados. Fabricado en Europa (cumplimiento GDPR y LOPD nativo). La Community Edition es 100 % libre y autohospedable. Admite 2FA con TOTP, YubiKey y Duo.

Se integra con extensiones para Firefox, Chrome, Edge y Brave; apps móviles iOS y Android; escritorio Windows, Mac y Linux; LDAP/AD; SSO con SAML/OIDC (edición Pro); API REST, JSON-RPC, CLI go-passbolt, Ansible y Terraform provider.

https://www.passbolt.com

 

6. Psono Community Edition

Gestor de contraseñas open source autohospedable orientado a empresas, con cifrado multinivel (cliente + TLS + almacenamiento) que garantiza verdadero cifrado de extremo a extremo durante el intercambio de credenciales. Incluye autenticación multifactor, generador de contraseñas, informes de seguridad e integración nativa con LDAP, SAML y OIDC SSO. Permite configurar callbacks a URLs específicas cuando un secreto cambia, ideal para automatizar acciones tipo reinicio de servicio en pipelines DevOps o entornos VoIP.

Se integra con extensiones para Chrome, Firefox, Edge, Brave, Opera y Vivaldi; apps Windows, macOS, Linux, iOS y Android; CLI para CI/CD y automatización; API REST; LDAP; SAML; OIDC; Duo; YubiKey y webhooks.

https://psono.com

 

7. Teampass

Gestor de contraseñas colaborativo basado en PHP y MySQL, ideal si ya tienes ese stack en producción. Ofrece una estructura jerárquica de carpetas con roles y permisos granulares (lectura/escritura/sin acceso) por carpeta y por ítem, campos personalizados y exportación cifrada offline. Muy flexible en la gestión de permisos a costa de una UX algo clásica. Incluye auditoría completa de acciones de usuario.

Se integra con Active Directory mediante LDAP y OAuth2, extensión oficial para Chrome y Edge, API REST, 2FA con DUO Security y Google Authenticator, e importación desde KeePass y CSV.

https://teampass.net

 

8. Infisical

Plataforma open source de gestión de secretos al estilo HashiCorp Vault pero con una UX moderna y accesible. Núcleo bajo licencia MIT. Cubre secretos de aplicación, PKI, secret scanning y prevención de fugas de credenciales. Soporte nativo para Kubernetes, Terraform, Ansible, GitHub Actions, AWS y docenas de herramientas más sin necesidad de construir conectores personalizados. Disponible en modalidad cloud, autohospedado o híbrido. Si lo que quieres sustituir de Vault es la gestión de secretos de aplicación más que la de contraseñas humanas, Infisical es el candidato principal.

Se integra con operador Kubernetes, Terraform, Ansible, GitHub Actions, GitLab CI, CircleCI, Jenkins, AWS/Azure/GCP, Vercel, Netlify, Docker, SDKs para Node, Python, Go, Java, .NET, Rust y Ruby, CLI e OIDC/SAML SSO.

https://infisical.com

 

9. OpenBao

Fork comunitario de HashiCorp Vault gestionado por la Linux Foundation, nacido tras el cambio de licencia de HashiCorp a BSL. Licenciado bajo MPL 2.0, garantiza un futuro verdaderamente libre e independiente. Si conoces la arquitectura de Vault, todo ese conocimiento es directamente aplicable a OpenBao. Más complejo que un gestor de contraseñas convencional, pero significativamente más sencillo que Conjur. La opción ideal si buscas la arquitectura Vault sin dependencia del vendor.

Compatible con la mayoría de plugins y SDKs de Vault: Kubernetes, Terraform, Ansible, AWS/Azure/GCP, Consul, secretos dinámicos para MySQL y PostgreSQL, PKI, SSH CA, Transit; CLI bao compatible con los comandos de vault.

https://openbao.org

 

10. CyberArk Conjur OSS

La solución más empresarial y compleja del comparativo. Política como código, control de acceso basado en roles y autenticación nativa de workloads (Kubernetes, AWS IAM, OIDC) que proporciona a los equipos de seguridad un control muy granular sobre las credenciales. La versión OSS (LGPL) incluye el núcleo, la API, el CLI y los SDKs; las funciones de alta disponibilidad, interfaz web, LDAP/SAML y audit streaming requieren la edición enterprise o SaaS. Recomendado solo si la motivación principal es seguridad y compliance estricto y cuentas con un equipo dedicado.

Se integra con Kubernetes (autenticador nativo), OpenShift, AWS IAM, Azure AD, GCP, Ansible, Jenkins, Terraform, Puppet, Chef, SDKs para Java, Ruby, Go, Python y .NET, Summon y Secretless Broker.

https://www.conjur.org

 

Otras bóvedas de almacenamiento de contraseñas interesantes

Además de estas 10 que son las más conocidas/funcionales (hay que decir que ciertas ventajas e integraciones corresponden a una versión de pago -aunque sea software libre, no son gratuitas-) hay muchas otras bóvedas de contraseñas que son igualmente interesantes y que no hemos añadido a la lista inicial simplemente porque son menos conocidas:

Phase

• Descripción: Gestor de secretos moderno, alternativa joven a Infisical y Vault con UI muy cuidada y enfoque DevOps. Cifrado end-to-end por entorno (dev/staging/prod), integración nativa con K8s, GitHub Actions, Vercel y Docker. Es el más «developer-friendly» del segmento secrets manager. SAML/OIDC empresarial requieren licencia.
• Web: https://phase.dev

Padloc

• Descripción: Gestor de contraseñas con la UI más limpia del lote, pensado para equipos pequeños y familias que rechazan Bitwarden por estética. Self-hosting con Docker Compose, cifrado E2E. Perfecto si la prioridad es UX antes que features empresariales.
• Web: https://padloc.app

AliasVault

• Descripción: Concepto distinto: gestor de contraseñas privacy-first con servidor de email integrado, cifrado end-to-end y completamente self-hosteable, que genera identidades alternativas (nombre, email, password) para cada web Opensourcedaily. AGPL-3.0, .NET + Blazor WebAssembly, instalación Docker en minutos. No tiene LDAP/SSO aún, pero está activamente en desarrollo y aporta algo único frente al resto.
• Web: https://www.aliasvault.net

PasswordStore

• Descripción: El estándar Unix. Cada contraseña es un fichero .gpg cifrado con tu clave GPG, organizado en árbol de directorios y versionado con Git. Compartir = añadir la clave pública GPG de otra persona al fichero .gpg-id de una carpeta — funcionalmente eso son tus «grupos». 2FA con pass-otp. Cero servidor, cero base de datos, máxima auditabilidad. Curva de aprendizaje fuerte pero a tu nivel técnico encaja perfecto. Hay clientes para todo (browserpass, qtpass, Android, iOS).
• Web: https://www.passwordstore.org

LessPass

• Descripción: Paradigma stateless: no sincroniza una bóveda cifrada — recuerdas un master password y LessPass regenera localmente cada contraseña usando un hash de dominio + login + master, sin necesidad de sync GitHub. No hay base de datos que comprometer porque no hay base de datos. Self-hosteable como servidor opcional para sincronizar metadatos no sensibles. Útil como complemento a un gestor «normal», no como reemplazo, pero filosóficamente interesante para credenciales que generes por algoritmo.
• Web: https://www.lesspass.com