- KeePassXC es un gestor de contraseñas local, abierto y multiplataforma con cifrado fuerte y gran flexibilidad.
- Permite organizar bóvedas en grupos y bases adicionales, integrar TOTP y reforzar el acceso con archivo llave y YubiKey.
- Se integra con navegadores mediante extensión, funciona totalmente offline y la sincronización depende de los servicios que tú elijas.
- Es especialmente adecuado para usuarios avanzados y empresas que valoran la privacidad y el control total sobre sus datos.
Si estás harto de gestores de contraseñas en la nube, de cuotas mensuales y de no saber muy bien dónde acaban tus claves, KeePassXC es probablemente una de las alternativas más serias y potentes que puedes adoptar. Se trata de un gestor local, de código abierto y muy flexible, que encaja igual de bien en el día a día de un usuario avanzado que en el entorno de una pequeña empresa.
A lo largo de esta guía vas a ver cómo instalar, configurar y exprimir KeePassXC, desde la creación de tu primera base de datos hasta la sincronización entre dispositivos, la integración con el navegador, la política de copias de seguridad o el uso conjunto con apps móviles. También verás si KeePassXC encaja con requisitos bastante específicos, como la integración con TOTP, funcionamiento offline real y control absoluto sobre tu bóveda.
Qué es KeePassXC y por qué es diferente
KeePassXC es un gestor de contraseñas local, de código abierto y multiplataforma que almacena todas tus claves en un fichero cifrado en tu propio dispositivo. Nada de cuentas en la nube obligatorias ni servidores de terceros gestionando tus secretos: aquí el archivo .kdbx con tu base de datos lo controlas tú de principio a fin.
Este enfoque lo convierte en una herramienta especialmente interesante para quienes valoran la privacidad, el control y la ausencia de suscripciones. Puedes usarlo en Windows, macOS y Linux, y combinarlo con servicios de sincronización como Dropbox, Google Drive, OneDrive, Nextcloud, Syncthing o soluciones P2P como Resilio Sync para tener la misma base de datos en varios equipos o compartirla entre varios usuarios.
Aunque funciona en local, KeePassXC no se queda corto en funciones. Incluye autocompletado, generador de contraseñas muy configurable, auditorías de seguridad, compatibilidad con llaves físicas como YubiKey, integración con navegadores modernos y aplicaciones móviles de terceros para Android e iOS que leen el mismo formato de base de datos.
Todo esto hace que, frente a otros gestores más sencillos o cerrados, KeePassXC sea una solución ideal para usuarios avanzados y empresas que quieran controlar su propia infraestructura, diseñar su propia política de backups y decidir exactamente cómo y dónde se guardan sus datos.
Funciones clave de KeePassXC que debes conocer
La gracia de KeePassXC no está solo en que sea local, sino en que ofrece un conjunto de funciones muy completo que compite de tú a tú con gestores comerciales. Estas son algunas de las características que conviene tener claras antes de ponerte manos a la obra.
En primer lugar, está el autocompletado de credenciales. KeePassXC permite rellenar formularios de inicio de sesión automático tanto desde su cliente de escritorio (con atajos de teclado) como a través de la extensión oficial para navegadores. Esto te evita teclear contraseñas imposibles de recordar, minimiza errores y te anima a usar claves más complejas.
El programa también integra un generador de contraseñas muy configurable, donde puedes ajustar longitud, uso de mayúsculas, minúsculas, números y símbolos. De esta manera, dejas de reutilizar la misma clave una y otra vez y adoptas la buena práctica de usar un secreto diferente, largo y robusto para cada servicio.
El corazón de todo es la base de datos cifrada en local con algoritmo AES‑256. Toda la información (usuarios, contraseñas, notas, archivos adjuntos) se guarda cifrada en el fichero .kdbx. Solo quien conozca la contraseña maestra (y, si lo configuras, tenga el archivo llave y/o la YubiKey correspondiente) puede descifrarla.
A nivel de compatibilidad, KeePassXC funciona en Windows, macOS y Linux con la misma interfaz básica, y cuenta con extensión oficial para los navegadores más usados (Firefox, Chrome, Edge y derivados). Además, existen aplicaciones móviles compatibles con KeePass en Android (KeePassDX, KeePass2Android, etc.) y en iOS (Strongbox, KeePassium, entre otras) que abren sin problemas tus archivos .kdbx.
Si te preocupa ir un paso más allá en seguridad, puedes integrar KeePassXC con YubiKey u otras llaves físicas como segundo factor para desbloquear la base de datos. Y, para mantener tu “higiene de contraseñas”, la aplicación incluye herramientas de auditoría que detectan claves débiles, antiguas o duplicadas.
Instalar y configurar KeePassXC en tu ordenador
Lo más cómodo es hacer la configuración inicial de KeePassXC desde tu PC, tanto si usas Windows, Linux o macOS. En el ordenador tendrás la interfaz completa y te resultará más sencillo organizar tu bóveda desde el principio.
Para empezar, accede a la web oficial del proyecto KeePassXC y descarga el instalador correspondiente a tu sistema operativo. En Windows encontrarás instalador clásico y versión portátil; en macOS se distribuye en formato habitual para este sistema; en Linux puedes recurrir a los repositorios de tu distribución, AppImage, Flatpak o Snap, según prefieras.
En distribuciones como Ubuntu tienes la opción de instalar KeePassXC desde los repositorios estándar con apt o usar el paquete Snap. El primer método suele ofrecer una versión algo más antigua pero muy estable e integrada con el escritorio; el segundo suele ir más al día y te da acceso a la versión más reciente disponible. El comando típico para instalar desde repos sería algo como sudo apt install keepassxc, mientras que para Snap sería sudo snap install keepassxc.
Una vez instalado y ejecutado KeePassXC por primera vez, verás una pantalla de bienvenida en la que se ofrecen varias opciones: crear una nueva base de datos, abrir una base existente o importar desde otros formatos. Si vienes de otro gestor o de KeePass clásico, es buen momento para aprovechar los asistentes de importación.
En el caso de que estés empezando desde cero, elige la opción de crear una base de datos nueva. El programa te pedirá que indiques la ubicación y el nombre del fichero .kdbx que va a contener toda tu bóveda. Puedes guardarlo inicialmente en tu carpeta personal, y más adelante moverlo a la ruta que utilices para la sincronización con otros dispositivos.
Creación y protección de tu primera base de datos
Tras indicar dónde vas a guardar el archivo, KeePassXC te muestra un asistente donde defines cómo se va a desbloquear tu nueva base de datos. Este es uno de los pasos más importantes, porque la fuerza de toda tu configuración depende en gran medida de la robustez de la contraseña maestra.
Lo normal es utilizar al menos una contraseña maestra larga y compleja. Puedes generarla con el propio generador de KeePassXC o crear una frase de paso larga aleatoria. Si quieres subir un escalón de seguridad, la aplicación permite complementar esa contraseña con un archivo llave: básicamente, un fichero (una foto, un documento, etc.) que deberás tener presente cada vez que quieras abrir la base.
También es posible combinar lo anterior con una YubiKey u otra llave de hardware, de forma que la base de datos solo se desbloquee si se cumple la triple condición: contraseña maestra correcta, archivo llave disponible y llave física conectada. Para entornos empresariales o usuarios muy paranoicos con la seguridad, esta combinación es especialmente atractiva.
Durante el asistente de creación, KeePassXC te ofrece además ajustes avanzados de cifrado, como el algoritmo, el número de iteraciones de derivación de clave o parámetros KDF. Salvo que tengas necesidades muy concretas, la configuración por defecto ya es muy segura y no suele hacer falta modificar nada.
Cuando confirmes la configuración de cifrado y la contraseña maestra, la base de datos se crea y aparece la interfaz principal con tu bóveda vacía. Desde aquí podrás empezar a organizar grupos, añadir entradas, importar contraseñas y, en general, construir tu sistema de gestión de claves.
Organizar la bóveda: grupos, entradas y bases de datos adicionales
La ventana principal de KeePassXC se organiza en varias zonas: un menú superior clásico, una barra de herramientas con accesos directos y un área central dividida en panel izquierdo (árbol de grupos) y panel derecho (lista de entradas del grupo seleccionado).
Aunque podrías empezar a guardar contraseñas directamente en la raíz de la base de datos, lo más práctico es crear grupos para clasificar tus cuentas por categorías: trabajo, personal, banca, redes sociales, servicios de la empresa, etc. Esto facilita mucho la navegación cuando la cantidad de entradas crece.
Para crear un grupo nuevo basta con ir al menú de Grupos y elegir la opción de añadir. Se abrirá una ventana donde puedes darle nombre, escribir una breve descripción y elegir un icono distintivo. Si quieres un subgrupo, simplemente asegúrate de que el grupo padre esté seleccionado cuando crees el nuevo.
Una vez tengas estructurados los grupos principales, toca añadir las entradas de usuario y contraseña. Puedes hacerlo desde el menú de Entradas o usando el icono de “Nueva entrada” en la barra de herramientas. En la ventana de edición deberás indicar un título que identifique la cuenta, el nombre de usuario, la contraseña y, opcionalmente, la URL de inicio de sesión.
En esa misma pantalla verás también campos para establecer fecha de caducidad de la contraseña, notas adicionales y otras propiedades. Si no quieres pensar en claves, puedes recurrir al generador de contraseñas del propio KeePassXC, ajustando longitud y tipo de caracteres según lo que admita el servicio de destino (ojo con el ASCII extendido, que algunos sitios no lo aceptan bien).
Además del contenido básico, tienes pestañas avanzadas en las que es posible añadir archivos adjuntos o atributos personalizados. Por ejemplo, podrías asociar un archivo PDF con documentación de la cuenta o configurar campos extra que tu organización necesite. Eso sí, ten presente que los adjuntos aumentan el tamaño total de la base de datos.
Si quieres compartimentar aún más la seguridad, en lugar de agrupar todo en una única bóveda también puedes crear bases de datos adicionales con contraseñas maestras diferentes. Cada base se abre en una pestaña distinta dentro de KeePassXC, y puedes trabajar con ellas de forma totalmente independiente. Es un enfoque útil para separar, por ejemplo, datos personales de datos corporativos o de proyectos especialmente sensibles.
Uso diario: bloqueo, desbloqueo y portapapeles
En el día a día, el flujo normal consiste en abrir KeePassXC, desbloquear la base de datos que necesites y trabajar con tus credenciales a medida que las vas utilizando. Si cierras el archivo o bloqueas la sesión, será necesario volver a introducir la contraseña maestra y, en su caso, el archivo llave o la YubiKey.
Para abrir una base de datos, puedes lanzar KeePassXC y seleccionar el fichero .kdbx desde el propio programa, o simplemente hacer doble clic en el archivo cifrado desde tu explorador de archivos. El programa suele recordar las rutas usadas con más frecuencia, por lo que reencontrar tu bóveda no lleva más que un par de clics.
Una vez desbloqueada la base, verás todas tus entradas organizadas en los grupos que has creado. El método más rápido para utilizar las credenciales es copiarlas al portapapeles con doble clic: puedes hacer doble clic en la URL de una entrada para abrir la web en tu navegador por defecto, o sobre el nombre de usuario y la contraseña para copiarlos y pegarlos donde corresponda.
KeePassXC, por motivos de seguridad, suele limpiar el contenido del portapapeles al cabo de unos segundos, reduciendo el riesgo de que alguien con acceso físico al equipo pueda pegar tus credenciales sin querer. Estos tiempos son configurables, así que puedes ajustarlos a tu gusto.
Cuando te apartes del ordenador o quieras cerrar la sesión de trabajo, lo recomendable es bloquear manualmente la base de datos o cerrar KeePassXC. De ese modo, aunque el equipo permanezca encendido, nadie podrá consultar tus contraseñas sin conocer la clave maestra o disponer de los factores adicionales que hayas configurado.
Integración con navegadores: KeePassXC y Firefox
Una de las preguntas habituales es si KeePassXC puede sustituir al gestor integrado del navegador ofreciendo, además, un comportamiento más estricto con la contraseña maestra y mejor soporte de TOTP. En escritorio, la respuesta suele ser bastante satisfactoria, sobre todo en combinación con Firefox.
Para activar la integración, entra en la configuración de KeePassXC y busca el apartado de Integración con navegadores. Allí podrás marcar los navegadores con los que quieres que el gestor pueda comunicarse (Firefox, Chrome, Edge y derivados compatibles).
Después tendrás que instalar la extensión oficial de KeePassXC en tu navegador, ya sea desde la Chrome Web Store, desde la tienda de complementos de Firefox o equivalentes según el navegador. Una vez instalada, fija el icono en la barra de herramientas para tenerlo siempre a mano.
Con KeePassXC abierto y la base de datos desbloqueada, pulsa en el icono de la extensión y selecciona la opción de conectar con KeePassXC. El gestor te pedirá que confirmes la conexión y que le asignes un nombre, de forma que, si en algún momento quieres revocarla, sepas exactamente cuál es.
A partir de ese momento, cuando visites una página de inicio de sesión, la extensión comunicará al cliente de escritorio que hay un formulario susceptible de autocompletar. La primera vez que KeePassXC detecte una solicitud de autofill para un sitio concreto, te mostrará un cuadro de diálogo donde podrás elegir qué entrada asociar a esa web y si quieres recordar la autorización para usos futuros.
En cuanto a tu requisito de que no se pida la contraseña maestra hasta que realmente haga falta autocompletar, KeePassXC encaja bastante bien: mientras la base de datos esté bloqueada, la extensión no tiene acceso a las credenciales, de modo que solo cuando intentes usarla tendrás que desbloquear la bóveda. Puedes, además, ajustar el tiempo de bloqueo automático de la base para forzar que se requiera la contraseña maestra con la frecuencia que tú consideres razonable.
En escritorio, por tanto, la combinación KeePassXC + extensión oficial en Firefox cumple con la mayoría de los puntos que se suelen pedir: integración con el navegador, no depender de un servidor en la nube, funcionamiento totalmente offline y control preciso de cuándo se desbloquea la bóveda. Si prefieres que el navegador no almacene tus credenciales, puedes evitar que los navegadores recuerden contraseñas y confiar únicamente en KeePassXC para el autocompletado.
Sincronización entre dispositivos y uso en móviles
Hasta aquí hemos hablado de funcionamiento local, pero la mayoría de usuarios quieren tener las mismas contraseñas disponibles en varios equipos y en el móvil. KeePassXC está pensado para ello, aunque la sincronización se delega en herramientas externas que tú decides.
Para un uso personal, la solución más sencilla suele ser guardar el fichero .kdbx en un directorio sincronizado con un servicio en la nube que se integre con tu sistema: Google Drive, Dropbox, OneDrive, iCloud Drive, Nextcloud, un NAS con Synology Drive, etc. Mientras el archivo se sincronice entre tus dispositivos, KeePassXC y las apps móviles verán siempre la versión más reciente.
En entornos empresariales, es habitual compartir la base de datos a través de plataformas corporativas como OneDrive empresarial, SharePoint o Google Drive en Workspace, lo que permite compartir contraseñas y colaborar entre varios usuarios. Eso sí, conviene definir normas internas claras sobre quién puede editar qué y cómo se gestionan los conflictos de edición simultánea.
Si prefieres evitar la nube pública por motivos de privacidad, otra opción muy interesante es usar herramientas de sincronización punto a punto como Syncthing o Resilio Sync. En este escenario, los ficheros se replican directamente entre tus dispositivos sin pasar por servidores de terceros, manteniendo un control máximo sobre dónde residen tus datos.
En cuanto al uso en móvil, KeePassXC no tiene app oficial para Android o iOS, pero el formato de base de datos KeePass (.kdbx) es un estándar de facto y existen clientes muy maduros en ambas plataformas. En Android, KeePassDX o KeePass2Android son excelentes opciones para ver contraseñas en Android; en iOS, Strongbox y KeePassium destacan por sus buenas prácticas de seguridad y soporte de autocompletado del sistema.
Estas apps permiten abrir el mismo archivo .kdbx que utilizas en el ordenador, ya sea accediendo a él a través de la integración de la app Archivos con tu proveedor de nube, mediante sincronización P2P o incluso copiándolo manualmente. Mientras la base esté cifrada y solo compartas la clave maestra por canales seguros, el riesgo de exposición se mantiene muy bajo.
Política de seguridad y copias de seguridad de la base de datos
Un aspecto que muchos usuarios descuidan es dónde guardar el fichero de la base de datos y cómo hacer sus copias de seguridad. Aquí conviene pararse un momento, porque los riesgos no solo vienen de atacantes externos, sino también de fallos de hardware o despistes propios.
Por un lado, está el riesgo de perder el acceso al archivo .kdbx por un fallo de disco, un borrado accidental o una corrupción de datos. Para minimizarlo, es imprescindible mantener al menos una copia de seguridad en otro soporte: un disco externo, otro ordenador, un NAS, etc. Idealmente, deberías tener varias copias distribuidas en distintos lugares físicos.
Si piensas en escenarios más extremos, como robo o incendio en tu domicilio u oficina, puede ser inteligente mantener alguna de esas copias cifradas en un proveedor en la nube o en otra ubicación física distinta. Dado que la base de datos está cifrada de por sí, el principal factor de riesgo pasa a ser la fortaleza de la contraseña maestra.
Justamente por eso es tan importante elegir una contraseña maestra robusta y no reutilizarla en ningún otro servicio. De nada sirve que el archivo viaje cifrado por la nube si alguien puede deducir tu clave con un ataque de diccionario o fuerza bruta básica. Combinar la contraseña con un archivo llave o una YubiKey reduce todavía más la superficie de ataque.
Otro punto delicado es cómo compartes la clave maestra y el archivo .kdbx si varios usuarios deben acceder a la misma bóveda. La recomendación es clara: nunca envíes fichero y contraseña por el mismo canal, utiliza medios de comunicación seguros y limita al máximo el número de personas que conocen esos secretos.
En entornos corporativos donde varias personas van a manejar la base de datos, es muy recomendable establecer una política de rotación de contraseñas maestras, registrar quién tiene acceso a qué, y acompañar esto con autenticación de segundo factor mediante YubiKey u otras llaves físicas para las cuentas más críticas.
Requisitos avanzados: TOTP, modo offline y comparación con otros gestores
Muchos usuarios que se plantean cambiar de gestor vienen con una lista de condiciones bastante específicas: open source, sin cuotas, sincronización entre escritorio y móvil, integración en navegador, funcionamiento offline real y soporte TOTP, entre otras. KeePassXC sale bastante bien parado en este tipo de comparativas.
En lo relativo a TOTP, KeePassXC permite almacenar secretos de autenticación de dos factores para generar códigos temporales directamente dentro de la propia entrada. Esto tiene la ventaja de centralizar contraseñas y códigos 2FA, aunque desde un punto de vista purista de seguridad algunos prefieren separarlos. En cualquier caso, la funcionalidad existe y es gratuita, sin suscripciones adicionales.
Sobre el modo offline, la aplicación está diseñada precisamente para funcionar sin depender de ningún servidor externo. Tu base de datos está en tu disco; si no tienes conexión, sigues pudiendo abrirla, modificarla y crear nuevas entradas. No hay modo “solo lectura por falta de conexión” como ocurre con algunos gestores basados en la nube; la sincronización, si la hay, la gestiona la herramienta externa que tú hayas elegido.
En cuanto a la integración con el navegador y la forma en que se solicita la contraseña maestra, KeePassXC no fuerza el desbloqueo al arrancar el navegador. Mientras la base de datos esté cerrada, la extensión no puede autocompletar. Es al intentar rellenar o guardar credenciales cuando se hace necesaria la intervención del usuario para desbloquear la bóveda, lo cual encaja bastante bien con la idea de no tener todo abierto desde el minuto uno.
Si, aun así, KeePassXC no encajara con tu flujo de trabajo, podrías valorar otras opciones de la familia KeePass o derivados como KeePass original en Windows combinado con plugins para navegador, o clientes alternativos de KeePass para cada plataforma. No obstante, a día de hoy KeePassXC suele ser la opción más pulida y moderna para escritorio, con una integración sólida con Firefox y otros navegadores.
En conjunto, KeePassXC se ha consolidado como una solución muy completa para quienes buscan un gestor de contraseñas avanzado, sin ataduras a la nube, con integración en navegador, soporte TOTP, funcionamiento offline y enorme flexibilidad en sincronización y copias de seguridad; eso sí, exige un mínimo de implicación para diseñar tu propia política de seguridad y backups, y encaja mejor con usuarios que no temen asumir ese control extra.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.