KeePassXC: guía completa para crear una bóveda local y usarla en el móvil

Gestionar docenas o cientos de claves hoy en día es el pan de cada día: bancos, correo, redes sociales, paneles de administración, herramientas de trabajo… y, si queremos ir seguros, todas deberían ser diferentes y complejas. Memorizar todo eso es imposible sin ayuda, y confiarlo todo al navegador o a un servicio en la nube no siempre encaja con quienes priorizan la privacidad.

KeePassXC aparece justo para cubrir ese hueco: es un gestor de contraseñas de código abierto que guarda toda la información en un archivo cifrado local, bajo tu control, pero que puedes sincronizar fácilmente entre ordenadores y móviles usando la nube o soluciones punto a punto. En este artículo verás qué es, cómo funciona, cómo montar tu base de datos, integrarla con el navegador y llevarla de forma segura en el móvil, tanto a nivel personal como en equipos de trabajo.

Qué es KeePassXC y por qué merece la pena

KeePassXC es un gestor de contraseñas multiplataforma y open source que nace como bifurcación comunitaria de KeePassX y es totalmente compatible con el formato de base de datos KDBX de KeePass 2.x. Está disponible para Windows, macOS y Linux, y se centra en un concepto muy simple: toda tu información sensible se guarda en uno o varios archivos cifrados, que solo se abren con una contraseña maestra (y, si quieres, con un archivo de clave o una llave física).

A diferencia de los gestores basados en la nube, KeePassXC no envía tus datos a ningún servidor central. Tú decides dónde está el archivo .kdbx: en tu disco duro, en un pendrive, en una carpeta sincronizada con Google Drive, Dropbox, Nextcloud, OneDrive, Syncthing, Resilio Sync, un NAS, etc. El fichero siempre viaja cifrado con algoritmos modernos como AES‑256 o ChaCha20 y funciones de derivación de claves como Argon2 o AES‑KDF, de modo que sin la clave maestra no hay nada que hacer.

Su objetivo no es solo guardar contraseñas: también puede almacenar nombres de usuario, URLs, notas, claves de recuperación, certificados, archivos adjuntos y hasta códigos TOTP (2FA) para autenticación en dos pasos. Todo se organiza en grupos y entradas, con iconos personalizables, etiquetas y un buscador potente que permite encontrar literalmente cualquier cosa en segundos aunque tengas cientos de registros.

Para rematar, KeePassXC incluye integración con el navegador a través de una extensión oficial (KeePassXC‑Browser) para Chrome, Firefox, Edge y navegadores compatibles. Así puedes autocompletar inicios de sesión, generar contraseñas fuertes al vuelo y, en las versiones más recientes, incluso trabajar con passkeys a través del propio navegador.

Funciones clave y ventajas frente a otros gestores

La fuerza de KeePassXC está en combinar seguridad avanzada con un flujo de trabajo bastante cómodo, sin depender de terceros. Estas son las funciones que marcan la diferencia frente a otras soluciones:

• Base de datos cifrada local: archivo único .kdbx cifrado con AES‑256 o ChaCha20, protegida por contraseña maestra, archivos de clave y, opcionalmente, challenge‑response con YubiKey u OnlyKey.
• Generador de contraseñas y passphrases: crea claves robustas con control de longitud, tipos de caracteres o frases de paso con palabras aleatorias; la interfaz muestra un indicador visual de fortaleza y un contador de caracteres en tiempo real.
• Autocompletado (Auto‑Type) y extensión de navegador: puedes rellenar formularios tanto en sitios web como en aplicaciones de escritorio, ya sea con atajos de teclado (Auto‑Type) o a través de la extensión KeePassXC‑Browser.
• Informes de seguridad y auditoría: revisa contraseñas débiles, repetidas o muy antiguas, comprueba entradas frente a filtraciones conocidas (HIBP) y genera estadísticas sobre el estado general de tu bóveda.
• Soporte TOTP integrado: guarda la semilla 2FA de tus cuentas y genera códigos temporales directamente desde KeePassXC, evitando depender de apps extra tipo Google Authenticator.
• Herramientas de importación y exportación: permite importar desde CSV, KeePass 1 (KDB), 1Password, Bitwarden, Proton Pass y otros; exporta a CSV, XML o HTML para copias de respaldo o auditorías.
• CLI y funciones avanzadas: keepassxc-cli para scripts y automatización, integración como Secret Service en Linux, Auto-Open, atributos personalizados por entrada, adjuntos cifrados, etc.

Otro punto fuerte es la comunidad y la transparencia: el código es público, se revisa de forma continua y las novedades se documentan en un changelog detallado. Esto permite que investigadores y usuarios avanzados auditen el proyecto y aporten mejoras o correcciones con rapidez.

Cómo instalar y configurar KeePassXC en tu ordenador

La instalación de KeePassXC es sencilla en cualquier sistema operativo. En Windows y macOS puedes descargar el instalador oficial desde la web del proyecto; en la mayoría de distribuciones Linux está disponible en los repositorios, y también hay versiones en Microsoft Store o paquetes específicos de cada distro.

En Windows, por ejemplo, el proceso típico es ir a keepassxc.org, descargar el instalador, ejecutarlo y seguir el asistente. En macOS se distribuye como paquete .dmg que arrastras a Aplicaciones. En Linux encontrarás paquetes como .deb, .rpm, Flatpak o Snap, además de los paquetes nativos de cada distribución. Una vez instalado, al abrirlo por primera vez verás una ventana prácticamente vacía: todavía no existe ninguna base de datos.

El primer paso importante es crear tu base de datos cifrada. Desde el menú principal seleccionas la opción de crear una nueva base (New Database o similar) y el programa te pedirá un nombre para el archivo y una ubicación. Lo habitual es guardarlo en una carpeta que luego vayas a sincronizar (por ejemplo, la carpeta de Google Drive o Dropbox en tu equipo, o un directorio de Nextcloud o Syncthing, aprovechando opciones de almacenamiento en la nube gratuito).

Tras elegir el nombre del archivo, hay que configurar la seguridad. KeePassXC te pedirá introducir una contraseña maestra; cuanto más larga y compleja, mejor. Puedes usar el generador de frases de paso (passphrase) del propio programa para obtener una clave robusta pero memorizable, o apoyarte en una frase personal modificada. La interfaz te mostrará la fuerza estimada de la contraseña, y podrás desplegar opciones avanzadas para añadir:

• Un archivo de clave generado aleatoriamente, que deberá estar presente junto con la contraseña para abrir la base (muy recomendable si quieres una segunda capa offline).
• Autenticación con la cuenta de Windows (no muy aconsejable salvo que sepas lo que haces, porque un cambio en el perfil del sistema puede dejar la base inaccesible).

En la misma creación puedes ajustar el tipo de cifrado (AES‑256 o ChaCha20), la función de derivación (AES‑KDF, Argon2d, Argon2id) y el número de iteraciones o parámetros de memoria, lo que endurece enormemente ataques de fuerza bruta. También es posible activar compresión Gzip, papelera de reciclaje interna, límites de historial de entradas y recordatorios para rotar la clave maestra cada cierto tiempo.

Al finalizar el asistente, KeePassXC puede ofrecerte imprimir un “resumen de emergencia” con información clave para recuperar el acceso (como pistas sobre la contraseña o datos técnicos de la base). Si decides generar ese papel, guárdalo en un lugar físico extremadamente seguro, porque quien lo tenga podría llegar a abrir tu bóveda.

Crear y organizar tus primeras entradas

Con la base de datos ya creada y guardada, verás una estructura de grupos por defecto (Internet, Windows, eMail, Home Banking, etc.) que puedes usar tal cual, modificar o eliminar. Lo interesante es que KeePassXC te deja crear tantos grupos y subgrupos como necesites para reflejar tu propia forma de trabajar: personal, trabajo, servidores, bancos, clientes, proyectos, etc.

Para añadir tu primera contraseña solo tienes que hacer clic en “Nueva entrada” (New Entry o el botón con el símbolo +). Se abrirá un formulario donde introducirás el título de la entrada (por ejemplo, “Gmail personal”), el nombre de usuario o correo, la URL de acceso y la contraseña. Aquí es muy cómodo usar el generador integrado para crear una clave única, larga y aleatoria que nunca tendrás que teclear a mano.

Cada entrada dispone de varias pestañas de configuración además de los campos básicos. En “Avanzado” puedes añadir atributos personalizados (por ejemplo, ID de cliente, número de contrato) y adjuntar archivos (certificados, PDF con instrucciones, claves SSH, etc.), que quedarán cifrados junto con el resto de la base. En “Propiedades” puedes cambiar el icono, marcar etiquetas, configurar vencimiento de la entrada o activar opciones de Auto‑Type.

El historial de cambios es otra pieza interesante: KeePassXC guarda versiones anteriores de cada entrada, de manera que si modificas una contraseña y luego necesitas recuperar la anterior, podrás hacerlo mientras no hayas limitado en exceso el tamaño del histórico en la configuración de la base. Esto añade una pequeña red de seguridad frente a errores humanos.

Cuando la cantidad de entradas crece, la búsqueda integrada se vuelve imprescindible. El cuadro de búsqueda localiza textos en título, usuario, URL, notas y otros campos, y admite filtros avanzados para encontrar justo lo que buscas, incluso en bóvedas corporativas con cientos o miles de credenciales.

Integrar KeePassXC con tu navegador

Para la mayoría de usuarios, la integración con el navegador es la función estrella. Autocompletar inicios de sesión reduce errores al teclear, anima a usar contraseñas muy largas y ahorra una cantidad de tiempo considerable, sobre todo si trabajas con muchas herramientas web.

El proceso general para usar KeePassXC‑Browser es este:

1. Habilitar la integración desde KeePassXC: en la aplicación de escritorio ve a Herramientas → Configuración → Integración con navegadores y marca los navegadores que uses (Chrome, Firefox, Edge, Vivaldi, Brave, Tor Browser, etc.).
2. Instalar la extensión oficial en el navegador: búscala en la tienda correspondiente (Chrome Web Store, addons de Firefox, etc.) con el nombre “KeePassXC‑Browser”.
3. Conectar extensión y aplicación: al pulsar el icono de la extensión, esta te pedirá crear una conexión con KeePassXC. Le pones un nombre reconocible (por ejemplo, “Portátil trabajo Chrome”) y autorizas desde el diálogo que aparecerá en el cliente de escritorio.
4. Con la base de datos abierta, visita un sitio de inicio de sesión: la primera vez que la extensión detecte una entrada compatible, KeePassXC te mostrará un aviso pidiendo permiso para usar esa credencial en ese dominio. Puedes marcar “Recordar” y “Permitir seleccionado” para no volver a ver el mensaje.

Un detalle práctico es asegurarte de que KeePassXC se inicia junto al sistema y se minimiza en la bandeja, para que la extensión encuentre siempre la base de datos abierta cuando abras el navegador. En macOS es fácil cerrar la app sin querer al pulsar la X, así que conviene revisar las preferencias de comportamiento de ventana.

Cuando un sitio web no se lleva bien con la extensión (formularios muy personalizados, aplicaciones de escritorio o clientes antiguos), sigue quedándote la opción de Auto‑Type. Asignas un atajo de teclado global, seleccionas la entrada adecuada, y KeePassXC escribe usuario y contraseña en la ventana activa siguiendo la secuencia que hayas configurado.

Sincronizar tu base con el móvil y con otros dispositivos

Hasta aquí todo ha sido trabajo local, pero lo habitual es querer las mismas contraseñas en el móvil y quizá compartir una parte de ellas con compañeros de equipo. KeePassXC no incluye sincronización propia, pero se lleva muy bien con casi cualquier servicio de almacenamiento en la nube o solución P2P.

El patrón general es siempre el mismo: colocas el archivo .kdbx en una carpeta que se sincronice con todos tus dispositivos y luego abres ese mismo archivo desde cada aplicación compatible. Algunas opciones frecuentes son:

• Servicios de nube personales: Google Drive, Dropbox, iCloud y OneDrive, Synology Drive, Nextcloud, etc. En ordenador sueles instalar la app de escritorio, que crea una carpeta local sincronizada; en móvil utilizas la app oficial, que se integra con el explorador de archivos del sistema.
• Soluciones punto a punto (P2P): Syncthing o Resilio Sync sincronizan carpetas directamente entre tus equipos sin pasar por servidores centralizados, ideal si quieres máximo control y privacidad.
• Entornos corporativos: OneDrive for Business, SharePoint, Google Workspace, NAS de empresa… permiten que varios usuarios accedan al mismo archivo, con permisos ajustados desde TI.

Mientras el archivo viaje cifrado, el proveedor de nube no puede leer su contenido. Lo crítico es proteger bien la clave maestra y, si compartes la base con terceros, acordar cómo se distribuye esa clave (siempre por un canal distinto al de la propia base de datos) y quién puede modificar qué.

Apps móviles compatibles con KeePassXC

Aunque KeePassXC no tiene aplicación oficial para iOS o Android, existe todo un ecosistema de clientes compatibles con el formato KDBX que cubren ese hueco sin problemas. Algunas de las opciones más recomendables son:

• KeePassDX o KeePass2Android en Android: ambas soportan archivos .kdbx, integración con la nube y autocompletado nativo del sistema. KeePass2Android, por ejemplo, se integra muy bien con Google Drive, Dropbox, WebDAV y otras fuentes.
• Strongbox en iPhone y Mac: cliente muy completo, con parte de sus funciones en versión de pago. Soporta Face ID, Touch ID, sincronización con iCloud, Dropbox, OneDrive, etc., y está pensado específicamente para trabajar con bóvedas KeePass.
• KeePassium en iOS: alternativa gratuita (con opción Premium) muy pulida, con autocompletado, soporte de TOTP, compatibilidad con kdb/kdbx, Argon2/ChaCha20, papelera de reciclaje y sincronización automática con servicios como iCloud o Google Drive.

El procedimiento práctico en el móvil suele ser instalar la app de la nube (Drive, Dropbox, iCloud Drive, Synology Drive…), asegurarse de que el archivo .kdbx está sincronizado ahí, y luego, desde la app KeePass correspondiente, usar “Abrir base de datos existente” y seleccionar la ubicación de la nube. Una vez abierta, podrás usar el autocompletado del sistema para iniciar sesión en apps y webs con un par de toques.

Es buena idea hacer una prueba de sincronización: añade una entrada nueva en el ordenador, cierra la base, espera a que la nube suba los cambios, abre la base en el móvil y comprueba que la entrada aparece. Luego repite a la inversa (crear en el móvil y revisar en el PC) para verificar que el flujo funciona en ambos sentidos.

Buenas prácticas, copias de seguridad y problemas típicos

Tener todas tus contraseñas en un único archivo da tranquilidad y vértigo a la vez. Por un lado, centralizas y simplificas; por otro, si pierdes el archivo, se corrompe o te olvidas de la clave maestra, lo has perdido todo. Por eso es fundamental aplicar algunas buenas prácticas.

La primera es la obvia: elige una contraseña maestra muy robusta, que mezcle longitud y complejidad, pero que puedas recordar sin tener que apuntarla en un post‑it. Frases largas con palabras poco habituales, combinadas con algún patrón personal difícil de adivinar, suelen ser una buena base. No confíes en recuperaciones mágicas: si la olvidas, no hay soporte al que llamar.

La segunda, copias de seguridad de la base .kdbx y del posible archivo de clave. Ten al menos un backup actualizado en un medio distinto (otro disco, un NAS, un USB guardado en lugar seguro). Si usas archivo de clave además de la contraseña, haz copia de ese archivo y no lo modifiques: un cambio mínimo lo inutiliza y perderías el acceso.

También conviene evitar editar la base desde varios dispositivos a la vez. Si dos equipos abren el archivo, hacen cambios y sincronizan casi al mismo tiempo, algunos servicios de nube pueden generar “conflicted copies” o, en el peor de los casos, corromper el fichero. En entornos compartidos, merece la pena acordar políticas: quién puede editar, quién solo lee, y cómo se gestionan los cambios.

Si en algún momento no puedes abrir tu base pese a estar seguro de la contraseña, revisa:

• Que no tengas activado el bloqueo por cuenta de Windows y hayas cambiado de usuario o de perfil.
• Que estás usando el archivo de clave correcto y sin modificaciones.
• Que el archivo .kdbx no esté dañado por un fallo de disco o un cierre forzado del sistema.

KeePass (y algunos forks) incluyen herramientas de reparación de bases de datos que, en ciertos casos, recuperan parte de la información de archivos dañados, pero no conviene depender de ello. Lo más sensato es trabajar siempre con copias de seguridad recientes.

Ventajas, desventajas y alternativas a considerar

KeePassXC ofrece un equilibrio muy potente entre seguridad y control, especialmente atractivo para usuarios avanzados y organizaciones que no quieren depender de soluciones SaaS. Pero no es perfecto ni la mejor opción para todo el mundo.

Entre sus principales ventajas podemos destacar:

• Control total sobre dónde se almacenan las contraseñas y cómo se sincronizan.
• Código abierto, auditable y con comunidad activa.
• Cifrado robusto, soporte de hardware tokens y TOTP integrado.
• Compatibilidad multiplataforma muy amplia (Windows, macOS, Linux, clientes móviles de terceros).
• Gran flexibilidad para integrarse en flujos técnicos (CLI, Secret Service, etc.).

En el lado menos amable, hay varias desventajas a tener en cuenta:

• Curva de aprendizaje: para usuarios muy poco técnicos puede resultar más complejo que un gestor en la nube que “ya viene hecho”. Suele requerir una pequeña fase de adaptación y, a veces, leer una guía como esta.
• Sincronización manual o externa: no hay un backend propio; debes apoyarte en servicios externos (nube, P2P, NAS…) y entender sus implicaciones.
• Dependencia del archivo local: si se borra o daña sin copia de seguridad, pierdes toda la información. Esto obliga sí o sí a tener una política de backups.
• Actualizaciones y mantenimiento: aunque el proyecto evoluciona rápido, eres tú quien debe mantener actualizado el cliente en tus equipos y revisar de vez en cuando la configuración de seguridad.

Si tras valorar todo esto ves que KeePassXC no se ajusta a tu perfil, el ecosistema de gestores de contraseñas es amplio: 1Password, Bitwarden, Keeper, Enpass, LastPass y hasta las soluciones integradas de iCloud y Google Chrome tienen su público. Suelen ofrecer sincronización automática, apps oficiales para todas las plataformas y, en algunos casos, recuperación de cuenta, a costa de delegar más confianza en proveedores externos.

Elegir bien pasa por analizar tus necesidades reales: qué dispositivos usas, qué nivel de control quieres sobre tus datos, si prefieres pagar una suscripción o no, qué importancia tiene para ti el código abierto, y cuántas personas van a compartir esas credenciales. No hay una respuesta universal, pero KeePassXC encaja especialmente bien cuando seguridad, transparencia y autonomía pesan más que la comodidad absoluta.

Montar tu sistema con KeePassXC significa construir tu propio kit de seguridad: una bóveda cifrada robusta, local, con integración en navegador y móvil, que puedes sincronizar como quieras y respaldar donde prefieras. Requiere un poco más de implicación que pulsar “siguiente, siguiente, aceptar” en un servicio en la nube, pero a cambio te da algo que pocos ofrecen: saber exactamente dónde están tus secretos, cómo se protegen y qué piezas puedes tocar para que el conjunto crezca contigo sin perder el control.

Artículo relacionado:

KeePass: configuración de base de datos cifrada con AES‑256 y archivo clave

Isaac

Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.