Login Probar gratis
KeePassXC: gestor de contraseñas local y sin nube

KeePassXC: gestor de contraseñas local y sin nube

por MataSpam Herramientas de Seguridad

Si quieres un gestor de contraseñas que no dependa de la nube, KeePassXC es la respuesta directa: guarda todas tus credenciales en un archivo cifrado que vive solo en tu ordenador. Nada de servidores remotos, nada de suscripciones, nada de confiar en que una empresa no sufra una brecha. Este keepassxc tutorial te explica por qué un gestor de contraseñas local tiene sentido en 2026, cómo funciona keepass y sus variantes, y cómo montar tus contraseñas offline sin morir en el intento. Spoiler: es más fácil de lo que la palabra "cifrado AES-256" sugiere, y tu yo del futuro —el que no reusa la misma contraseña en 40 webs— te lo agradecerá.

Qué es KeePassXC y por qué "local" importa

KeePassXC es un fork comunitario de KeePass, el veterano gestor de contraseñas de código abierto que nació en 2003. La X viene de "cross-platform": funciona en Windows, macOS y Linux con la misma base de código, algo que el KeePass original (atado a .NET) hacía con menos elegancia.

La diferencia clave con un LastPass o un Bitwarden alojado en la nube está en dónde vive tu información. Aquí tus datos se guardan en un único archivo .kdbx cifrado en tu disco. Tú decides si ese archivo se queda quieto, lo sincronizas con tu propia nube o lo llevas en un USB.

¿Por qué te debería importar tener un gestor de contraseñas local? Porque las brechas de los gestores en la nube no son teóricas. LastPass sufrió en 2022 un robo de copias de seguridad de bóvedas de clientes que aún colea. Cuando tus contraseñas cifradas no están en el servidor de nadie, no aparecen en el botín de nadie.

  • Cifrado: AES-256 o ChaCha20, con derivación de clave Argon2 (resistente a ataques por fuerza bruta con hardware especializado).
  • Código abierto: auditable por cualquiera. La transparencia es la base de la confianza, no el marketing.
  • Sin telemetría ni cuentas: no hay registro, no hay correo, no hay "acepto los términos".
  • Gratis de verdad: licencia GPL, sin plan premium escondiendo funciones básicas.

Instalación y primera base de datos: el keepassxc tutorial

Montar tu primer almacén de contraseñas offline lleva unos cinco minutos. La descarga oficial está en keepassxc.org; desconfía de cualquier otra fuente, que ahí es donde se cuela el malware disfrazado de instalador. Si quieres entender cómo los atacantes imitan webs legítimas para colártela, échale un ojo a nuestro artículo sobre dominios falsos que imitan webs reales.

  1. Descarga e instala según tu sistema. En Linux suele estar en los repositorios oficiales; en Windows y Mac hay instaladores firmados.
  2. Crea una base de datos nueva desde "Database → New Database". Le das nombre y eliges el formato KDBX 4.
  3. Define la contraseña maestra. Esta es la única que tendrás que recordar, así que que sea larga. Una frase de cuatro o cinco palabras aleatorias bate a "P@ssw0rd!" por goleada.
  4. Opcional pero recomendable: añade un archivo llave (key file) como segundo factor. Sin él y sin la contraseña, el .kdbx es un ladrillo cifrado inservible.
  5. Guarda el archivo donde tú controles. Y haz copias de seguridad: si pierdes ese .kdbx, no hay botón de "recuperar cuenta".

Una vez dentro, crear entradas es trivial. Cada una guarda usuario, contraseña, URL y notas. El generador integrado fabrica contraseñas largas y aleatorias —usa 20 caracteres o más— para que nunca vuelvas a inventarte una "fácil de recordar" que también es fácil de adivinar.

Funciones que marcan la diferencia

Más allá de guardar contraseñas, KeePassXC trae herramientas que justifican abandonar el documento de Excel donde mucha gente todavía —no juzgo, sí juzgo— apunta sus claves.

FunciónPara qué sirve
Auto-TypeRellena usuario y contraseña simulando pulsaciones de teclado en cualquier aplicación, no solo el navegador.
Extensión de navegadorKeePassXC-Browser conecta con Firefox, Chrome y Edge sin enviar nada a internet.
Generador TOTPAlmacena tus códigos de doble factor (2FA), reemplazando a Google Authenticator.
Health ReportDetecta contraseñas débiles, duplicadas o caducadas dentro de tu base.
HIBP integrationComprueba si tus contraseñas aparecen en filtraciones conocidas vía Have I Been Pwned.

Esa última función conecta con un hábito que deberías tener: revisar periódicamente si tus credenciales andan circulando por ahí. Have I Been Pwned es el servicio de referencia, mantenido por el investigador Troy Hunt, y KeePassXC puede consultarlo sin exponer tus contraseñas en claro gracias al modelo de k-anonimato.

Local vs nube: ¿qué pierdes y qué ganas?

Seamos honestos: lo local no es magia gratis. La comodidad de la sincronización automática multidispositivo que ofrecen los gestores en la nube tiene un coste que aquí asumes tú.

El gestor de contraseñas local te da control total y elimina al intermediario como punto de fallo. A cambio, la sincronización entre tu portátil y el móvil corre de tu cuenta. La solución habitual es guardar el .kdbx en tu propia carpeta de Nextcloud, Syncthing o incluso Dropbox: el archivo viaja cifrado, así que el proveedor de almacenamiento nunca ve su contenido.

  • Ganas: privacidad real, ausencia de cuotas, resistencia a brechas de terceros, transparencia del código.
  • Asumes: gestionar tus copias de seguridad y tu propia sincronización. Si pierdes el archivo sin backup, adiós contraseñas.

Para el móvil tienes KeePassDX en Android y Strongbox en iOS, ambos compatibles con el formato .kdbx. Y si te interesa este enfoque de "soberanía digital" en casa, combina KeePassXC con otras herramientas que recuperan el control de tu red, como bloquear publicidad y rastreadores con Pi-hole. La misma filosofía: tus datos, tu infraestructura.

Seguridad real: qué vulnerabilidades existen

Ningún software es invulnerable, y vender lo contrario sería deshonesto. KeePass, la familia completa, ha tenido sus sustos. El más sonado fue CVE-2023-32784, descubierto en 2023, que permitía recuperar la contraseña maestra en texto claro desde la memoria del proceso. Afectaba al KeePass original (.NET) y se parcheó en versiones posteriores.

La lección no es "los gestores son inseguros", sino "mantén el software actualizado". Un gestor desactualizado es como una caja fuerte con la combinación pegada con un post-it. Las buenas prácticas básicas siguen aplicando:

  • Actualiza siempre a la última versión estable.
  • Contraseña maestra fuerte y única. Si te la roban, todo lo demás da igual.
  • Bloquea la base de datos tras unos minutos de inactividad (KeePassXC lo hace por defecto).
  • No te confíes con el phishing: ningún gestor te salva si tú mismo escribes tus claves en una web falsa. Aprende a detectarlo con casos reales como las estafas con Bizum por phishing.

Si te dedicas a la seguridad o simplemente te pica la curiosidad de investigar lo que circula por la red, las herramientas OSINT de fuentes abiertas complementan bien este arsenal defensivo.

Preguntas frecuentes

¿KeePassXC es gratis de verdad o tiene plan premium?

Es completamente gratuito y de código abierto bajo licencia GPL. No hay versión de pago, funciones bloqueadas ni anuncios. El proyecto se financia con donaciones voluntarias de la comunidad.

¿Qué pasa si olvido la contraseña maestra?

No hay recuperación posible. El cifrado AES-256 es real, no decorativo, y nadie —ni los desarrolladores— puede abrir tu base sin la clave. Apunta tu contraseña maestra en un lugar físico seguro o memorízala bien antes de meter ahí tu vida digital.

¿Cuál es la diferencia entre KeePass y KeePassXC?

KeePass es el original, basado en .NET y centrado en Windows. KeePassXC es un fork multiplataforma moderno con interfaz nativa para Windows, macOS y Linux, integración con navegadores y soporte TOTP de serie. Ambos comparten el formato .kdbx, así que son interoperables.

¿Puedo sincronizar mis contraseñas entre el móvil y el ordenador?

Sí, pero la sincronización la gestionas tú. Lo habitual es guardar el archivo .kdbx en tu propia nube (Nextcloud, Syncthing, Dropbox) y abrirlo desde apps compatibles como KeePassDX en Android o Strongbox en iOS. El archivo viaja siempre cifrado.

¿Es más seguro que un gestor en la nube como Bitwarden?

Depende de tu modelo de amenaza. Lo local elimina al proveedor como punto de fallo y te da control total, pero te hace responsable de las copias de seguridad. Bitwarden, que también es de código abierto y muy sólido, gana en comodidad. No hay un ganador absoluto: hay el que encaja con tus hábitos.

El siguiente paso

Descarga KeePassXC desde su web oficial, crea tu primera base de datos con una contraseña maestra fuerte y migra hoy mismo las tres cuentas más importantes que tengas: el correo principal, el banco y la red social donde te jugarías la reputación. Empieza por esas tres y el resto caerá solo. Y si estás montando tu propia infraestructura digital y necesitas que alguien te ayude a hacerlo bien —desde una página web profesional hasta proyectos de inteligencia artificial para empresas— ya sabes dónde encontrarnos.

keepassxc keepass gestor contraseñas local contraseñas offline keepassxc tutorial
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Kali Linux: guía para principiantes en ciberseguridad
Herramientas de Seguridad

Kali Linux: guía para principiantes en ciberseguridad

VirusTotal: cómo analizar archivos y URLs sospechosos gratis
Herramientas de Seguridad

VirusTotal: cómo analizar archivos y URLs sospechosos gratis

Apps autenticador 2FA: comparativa Google, Microsoft, Authy y más
Herramientas de Seguridad

Apps autenticador 2FA: comparativa Google, Microsoft, Authy y más

← Volver al blog