KeePassXC

KeePassXC es el gestor de contraseñas canónico local-first — una aplicación de escritorio que almacena tus contraseñas en un único archivo de base de datos cifrado `.kdbx` bajo tu control, sin servidores, sin cuentas, sin sincronización en la nube y sin telemetría. Calificado como Grade A · selección del editor porque ocupa el punto de menor superficie de confianza en el espacio de los gestores de contraseñas: no hay nada que filtrar cuando no hay infraestructura de operador, ni empresa SaaS, ni almacenamiento de terceros. La elección por defecto para usuarios que tratan el almacenamiento de contraseñas como un problema de infraestructura en lugar de un servicio alojado.

Background. KeePassXC es un fork multiplataforma mantenido por la comunidad del original KeePassX (que a su vez era un fork basado en Qt del KeePass solo para Windows). Desarrollo activo por un equipo distribuido de contribuidores desde 2016, publicado bajo la licencia GPLv3. Escritorio multiplataforma (macOS, Windows, Linux) con paridad total de funciones entre plataformas; las plataformas móviles tienen aplicaciones separadas pero compatibles (KeePassDX en Android, Strongbox o KeePassium en iOS — todas leen y escriben el mismo formato `.kdbx`). El formato de archivo `.kdbx` es una especificación abierta con primitivas criptográficas establecidas (AES-256, ChaCha20, Argon2 para derivación de claves); el mismo archivo funciona en KeePassXC, KeePass, KeePassDX, Strongbox, KeePassium y muchos otros clientes. Financiado enteramente por donaciones + patrocinios ocasionales; sin entidad comercial detrás del proyecto.

What you trust. Almacenamiento local de archivos — tu base de datos `.kdbx` es solo un archivo en tu disco; tú controlas dónde reside (unidad local, memoria USB, tu propio Nextcloud, tu propia configuración de Syncthing, etc.). Código abierto + compilaciones reproducibles — el código fuente es auditable; las versiones firmadas son reproducibles desde el código fuente. Criptografía fuerte — cifrado AES-256 o ChaCha20, función de derivación de claves Argon2 (resistente a ataques GPU/ASIC), verificación de integridad HMAC-SHA256. Sin operador — no hay empresa KeePassXC que pueda ser citada, no hay backend SaaS, no hay servicio que comprometer. Soporte YubiKey + token de hardware — desbloqueo de segundo factor mediante tokens de hardware para usuarios que quieren defensa en profundidad. Auditado — el código ha recibido auditorías de seguridad independientes; los informes completos de auditoría están enlazados desde keepassxc.org. Soporte PGP — para usuarios que usan claves PGP, KeePassXC se integra con el PGP del sistema para flujos de trabajo de cifrado adicionales.

Operational specs. Plataformas: aplicaciones de escritorio para macOS / Windows / Linux (basadas en Qt, nativas para cada plataforma). Formato de base de datos: `.kdbx` (formato de base de datos KeePass) — mismo formato legible por clientes de la familia KeePass en móvil y escritorio. Cifrado: cifrado simétrico AES-256 o ChaCha20; derivación de claves Argon2 (iteraciones + costo de memoria configurables). Métodos de desbloqueo: frase de contraseña maestra, archivo de clave, YubiKey/token de hardware, o combinación. Auto-type: configurable por entrada; escribe nombre de usuario + Tab + contraseña + Enter en la ventana enfocada. Integración con navegador: extensiones oficiales de navegador (KeePassXC-Browser) para Firefox / derivados de Chromium — opcional, se comunica por IPC local, sin participación de red. Soporte TOTP: generación TOTP incorporada (RFC 6238); la base de datos almacena el secreto TOTP junto con la contraseña. Compartir: grupos de solo lectura o lectura-escritura pueden compartirse entre múltiples usuarios mediante archivos `.kdbx` compartidos (cada usuario tiene su propia frase de contraseña maestra). Complemento móvil: KeePassDX (Android), Strongbox / KeePassium (iOS) — todos de código abierto, todos leen/escriben el mismo formato `.kdbx`.

Philosophy. El diferenciador editorial de KeePassXC es la postura local-first, sin servidor. Los gestores de contraseñas SaaS (Bitwarden, 1Password, Dashlane) ofrecen conveniencia — sincronización entre dispositivos sin que el usuario piense en ello, recuperación basada en web, acceso basado en cuenta. El compromiso: un operador alojado se convierte en una superficie de confianza. Bitwarden autoalojable (y Vaultwarden) cierra parte de esa brecha permitiéndote operar el servidor, pero introduce complejidad operativa de autoalojamiento. KeePassXC esquiva toda la cuestión alojado-vs-autoalojado: la base de datos es un archivo, la aplicación es local, la sincronización es lo que ya uses para archivos (Nextcloud, Syncthing, unidad USB, servicio de respaldo cifrado). El compromiso: la sincronización entre dispositivos depende de ti — KeePassXC no tiene una ruta de "iniciar sesión en un nuevo teléfono"; debes transferir el archivo `.kdbx` al nuevo dispositivo mediante tu mecanismo de sincronización de archivos preferido.

Grade rationale. Grade A y selección del editor reflejan: código abierto bajo licencia GPLv3; escritorio multiplataforma (macOS, Windows, Linux) con paridad de funciones; clientes móviles compatibles (KeePassDX, Strongbox, KeePassium); sin infraestructura de operador, sin backend SaaS, sin telemetría; criptografía fuerte (AES-256/ChaCha20 + Argon2 KDF); soporte YubiKey + token de hardware como segundo factor; auditorías de seguridad independientes con informes públicos; soporte TOTP incorporado; extensión de navegador con IPC local (sin red); compilaciones reproducibles + versiones firmadas; financiado enteramente por donaciones (sin conflictos de presión comercial); listado en el directorio de pares de Privacy Guides. Más de 8 años de continuidad operativa (desde el fork de 2016). Última verificación: 2026-05-13.

Useful when. Quieres la postura más conservadora de gestor de contraseñas — sin operador, sin SaaS, sin almacenamiento de terceros. Eres un usuario de nivel Privacy Guides cómodo gestionando tus propias copias de seguridad de archivos. Quieres escritorio multiplataforma (macOS/Windows/Linux) sin comprometer el principio local-first. Usas YubiKey o tokens de hardware como tu segundo factor (la integración de tokens de hardware de KeePassXC es madura). Quieres una bóveda compatible con móvil — KeePassXC escritorio se empareja limpiamente con KeePassDX (Android) o Strongbox / KeePassium (iOS) mediante archivos `.kdbx` compartidos. Eres una organización o familia que quiere bóvedas de contraseñas compartidas con frases de contraseña maestra por usuario. Estás migrando desde un gestor de contraseñas SaaS y quieres un destino local-first.

Caveats. La sincronización entre dispositivos es tu responsabilidad — KeePassXC no tiene sincronización incorporada; usas Nextcloud, Syncthing, Resilio, unidad USB o cualquier mecanismo de sincronización de archivos en el que confíes. Esto es una característica (sin operador), pero es una fricción. Sin acceso basado en web — no hay ruta de "iniciar sesión desde la computadora de un amigo"; si no tienes tu archivo `.kdbx` contigo, no tienes tus contraseñas. La paridad móvil depende de qué cliente móvil uses — KeePassXC oficial es solo escritorio; los clientes móviles recomendados (KeePassDX en Android, Strongbox / KeePassium en iOS) se mantienen por separado y tienen su propia UX. Peculiaridades del auto-type — el auto-type se basa en entrada de teclado simulada que puede ser inconsistente con aplicaciones específicas; la integración moderna de extensión de navegador es más confiable que el auto-type para inicios de sesión web. La extensión del navegador es opcional — si quieres autocompletado de contraseñas, instala KeePassXC-Browser; si prefieres copiar y pegar manualmente, la extensión no es necesaria. Sin recuperación de emergencia — si olvidas tu frase de contraseña maestra y no tienes una copia de seguridad del archivo de clave, la base de datos es irrecuperable; este es el precio del diseño local-first de confianza cero. Planifica en consecuencia: imprime un archivo de clave en papel, usa un token de hardware, comparte un sobre sellado con la frase de contraseña maestra con una parte de confianza. La corrupción de la base de datos es recuperable pero no automática — KeePassXC escribe atómicamente, pero si tu mecanismo de sincronización de archivos crea conflictos (dos dispositivos escribiendo simultáneamente) puedes terminar con una copia en conflicto; resuelve los conflictos abriendo ambas copias y fusionándolas manualmente. Compromiso de conveniencia TOTP — almacenar secretos TOTP en tu base de datos de contraseñas es conveniente pero significa que un único compromiso de la base de datos expone ambos factores; algunos usuarios prefieren un autenticador separado (Aegis en Android, Ente Auth multiplataforma) para cuentas de mayor riesgo.