Gestión segura de contraseñas con KeePassXC

  • KeePassXC es un gestor de contraseñas local, cifrado y de código abierto que ofrece control total sobre tus datos.
  • Permite generar, almacenar y auditar contraseñas robustas, así como gestionar 2FA/TOTP y archivos adjuntos.
  • Se integra con navegadores y puede sincronizarse entre dispositivos mediante servicios en la nube o soluciones P2P.
  • La seguridad depende de una buena contraseña maestra, posibles archivos clave, llaves físicas y copias de seguridad adecuadas.
Lorena Figueredo

18 minutos

Gestión segura de contraseñas con KeePassXC

Vivimos pegados al móvil, al ordenador y a mil servicios online distintos. Cada uno nos pide un usuario y una clave distinta y, claro, al final muchos acaban tirando por lo fácil: reutilizar la misma contraseña en todos los sitios, apuntarlas en un papel o guardarlas en un bloc de notas del ordenador. Cómodo, sí; seguro, ni de lejos.

Con las filtraciones masivas de datos, el phishing y los ataques automatizados, usar claves sencillas o repetidas es jugar a la ruleta rusa con tus cuentas. Por eso cada vez más gente apuesta por un gestor de contraseñas, y entre las opciones locales sin nube, KeePassXC se ha convertido en una de las soluciones más potentes y flexibles tanto para usuarios particulares como para empresas.

Por qué necesitas un gestor de contraseñas hoy mismo

La mayoría de servicios online siguen confiando en el clásico sistema de usuario y contraseña. El problema llega cuando el usuario hace lo que es lógico desde el punto de vista humano, pero un desastre desde el punto de vista de seguridad: contraseñas cortas, fáciles de recordar y repetidas en varios sitios. Basta con que una web tenga una brecha de seguridad para que esa misma clave sirva de llave maestra para el resto de tus cuentas.

Las recomendaciones básicas son claras y forman parte de una buena higiene digital: usar contraseñas largas, con mayúsculas, minúsculas, números y símbolos, y que sean distintas en cada servicio. Pero seamos sinceros: recordar decenas de contraseñas fuertes es imposible a largo plazo. Guardarlas en un archivo de texto, una hoja de cálculo, el navegador o un post-it en la pantalla es casi tan mala idea como no hacer nada.

Ahí es donde entran los gestores de contraseñas. Estas herramientas permiten almacenar todas tus credenciales en una base de datos cifrada, protegida por una única contraseña maestra (y, si quieres, por factores adicionales como un archivo clave o una llave física). Tú solo tienes que recordar esa contraseña maestra; del resto se encarga el programa.

Además del almacenamiento seguro, un buen gestor moderno ofrece funciones como autocompletado en webs y aplicaciones, generación de contraseñas robustas, auditoría de claves débiles o reutilizadas y soporte para 2FA/TOTP. Es decir, no solo guarda claves, también te ayuda a que sean mejores.

Qué es un administrador de contraseñas y cómo funciona

Un administrador de contraseñas es, básicamente, una base de datos cifrada de credenciales a la que se accede con una única contraseña maestra. Ese archivo puede vivir en tu equipo, en un servidor de la nube o en ambos, según el tipo de gestor que elijas.

Cuando introduces la contraseña maestra (y cualquier factor adicional que hayas configurado), el programa descifra en memoria la base de datos y te permite consultar, copiar o autocompletar usuarios, contraseñas y otros datos sensibles. Cuando bloqueas el gestor o cierras la sesión, todo vuelve a quedar cifrado. Si alguien roba el archivo de base de datos pero no conoce la contraseña maestra (ni tiene el archivo clave, si lo usas), lo que verá será un montón de datos inservibles.

Funciones clave de un buen gestor de contraseñas

Más allá de la teoría, hay varias características que marcan la diferencia entre un gestor decente y uno realmente práctico para el día a día:

  • Almacenamiento cifrado
    • Las credenciales se guardan en un archivo protegido con algoritmos de cifrado modernos, como AES-256, Twofish o ChaCha20. Esto reduce drásticamente el riesgo frente a mantener contraseñas en documentos sin cifrado o en notas del móvil.
  • Generador de contraseñas robustas
    • El gestor puede crear claves largas y aleatorias, del estilo X9#m$kL!2vP@Q, con la longitud y tipos de caracteres que tú decidas. Así puedes usar contraseñas muy fuertes sin tener que memorizarlas.
  • Autocompletado y autoescritura
    • En lugar de teclear usuario y contraseña en cada inicio de sesión, el gestor puede rellenar formularios o simular la escritura por ti. Esto, además de ahorrar tiempo, reduce el riesgo de teclear credenciales en una web de phishing que se parezca a la original.
  • Sincronización entre dispositivos
    • Muchos gestores en la nube, y también los locales bien configurados, permiten acceder a la misma base de datos desde varios ordenadores y móviles, usando servicios de almacenamiento como Google Drive, Dropbox, Nextcloud o soluciones P2P como Resilio Sync.
  • Funciones extra de seguridad
    • Informes de contraseñas débiles o reutilizadas, aviso de posibles filtraciones (HIBP), soporte para códigos TOTP como segundo factor de autenticación, integración con llaves físicas (YubiKey, OnlyKey), notas seguras, archivos adjuntos y mucho más.

Qué es KeePassXC y qué lo hace diferente

KeePassXC gestor de contraseñas

KeePassXC es un gestor de contraseñas local, gratuito y de código abierto que utiliza el formato de base de datos KDBX, compatible con el proyecto original KeePass. Nació como un fork de KeePassX (la versión multiplataforma de KeePass en C++/Qt) para acelerar el desarrollo e incorporar las funciones más demandadas por la comunidad.

A diferencia de los gestores puramente en la nube, KeePassXC no depende de servidores externos ni de suscripciones. La base de datos se guarda en tu equipo (o en el servicio de sincronización que tú elijas) y se cifra con AES-256 por defecto, pudiendo añadir opciones como Twofish o ChaCha20. Esto lo hace especialmente atractivo para usuarios preocupados por la privacidad y para empresas que no quieren delegar sus secretos en terceros.

Además, al ser multiplataforma, funciona en Windows, macOS y Linux, con extensiones oficiales para Chrome, Firefox, Edge y otros navegadores basados en Chromium. En móviles puedes acceder a la misma base de datos con apps compatibles como KeePassDX (Android), Strongbox o KeePassium (iOS), manteniendo siempre el formato KDBX.

Sus versiones de escritorio más recientes (por ejemplo, 2.7.10 en Windows y macOS) incluyen un generador de contraseñas avanzado, soporte TOTP para 2FA, integración con YubiKey, auditoría de contraseñas y una interfaz pulida con temas claros y oscuros que cumplen criterios de accesibilidad.

Funciones principales de KeePassXC en detalle

KeePassXC va mucho más allá de una simple libreta cifrada. Estas son las capacidades clave que conviene conocer para exprimirlo al máximo:

  • Gestión segura de credenciales y notas
    • Puedes guardar usuarios, contraseñas, URLs, notas seguras, segundos factores y cualquier dato sensible en una o varias bases de datos KDBX. Cada entrada puede organizarse en grupos y subgrupos, etiquetarse y buscarse rápidamente.
  • Generador de contraseñas aleatorias
    • Incluye un generador configurable para crear contraseñas complejas con longitud personalizada y combinación de letras mayúsculas, minúsculas, números y símbolos. Esto facilita adoptar buenas prácticas de seguridad sin esfuerzo.
  • Cifrado fuerte y flexible
    • La base de datos está cifrada con algoritmos robustos (AES-256 por defecto, con opción de Twofish y ChaCha20) y protegida por una contraseña maestra. Puedes reforzar la protección con un archivo clave y/o un desafío-respuesta con YubiKey u OnlyKey.
  • Compatibilidad y portabilidad
    • Es compatible con el formato KeePass 2.x y permite importar datos desde CSV, KeePass 1 y otros gestores. También puede exportar la base de datos a CSV o HTML para migraciones o revisiones puntuales (siempre con cuidado, al tratarse de texto sin cifrar).
  • Integración con navegador
    • La extensión KeePassXC-Browser se comunica de forma segura con la app de escritorio para autocompletar credenciales directamente en las webs. Funciona con Google Chrome, Firefox, Edge, Vivaldi, Brave, Tor Browser y otros navegadores compatibles.
  • TOTP y doble autenticación
    • KeePassXC puede almacenar la clave secreta de tus servicios con 2FA y generar códigos TOTP basados en tiempo, sustituyendo a apps tipo Google Authenticator en muchos casos. También guarda un historial de contraseñas antiguas por entrada.
  • Funciones avanzadas para usuarios expertos
    • Informes de estado de contraseñas, integración como agente SSH, servicio secreto de FreeDesktop.org para reemplazar llaveros como GNOME Keyring, CLI propia (keepassxc-cli), sincronización de fragmentos de base de datos mediante KeeShare, referencias de campos entre entradas, archivos adjuntos y atributos personalizados.

Contraseña maestra, archivo clave y llaves físicas

El corazón de tu seguridad con KeePassXC es la contraseña maestra. Lo que protege tu bóveda no es la fuerza individual de cada clave de servicio, sino la combinación entre una contraseña maestra robusta y, si quieres, factores adicionales como un archivo clave o una YubiKey.

La recomendación es clara: usa una contraseña larga, mejor una frase de paso, que sea difícil de adivinar pero razonablemente fácil de recordar para ti. No reutilices una clave que ya uses en otro servicio y, si puede ser, apóyate en el generador integrado para crearla y anotarla de forma segura si lo ves necesario.

Qué es un archivo clave y por qué refuerza tu seguridad

Un archivo clave es, literalmente, un fichero que actúa como segundo factor de autenticación para abrir la base de datos. KeePassXC no utiliza el contenido del archivo tal cual, sino el hash (su “huella digital” criptográfica). Si el archivo cambia mínimamente, el hash también cambia y ya no podrás abrir la bóveda.

Puedes usar dos enfoques:

  • Archivo generado por KeePassXC: el propio programa crea un fichero con datos aleatorios pensado específicamente como archivo clave.
  • Archivo existente en tu equipo: una foto, un PDF, un documento de texto, un MP3… KeePassXC solo usará el hash del archivo, así que el formato es irrelevante.

Respecto al hash del archivo, conviene tener claras tres ideas: es único, irreversible y de longitud fija (por ejemplo, SHA-256 genera siempre 64 caracteres hexadecimales). Si cambias un solo byte del archivo, el hash cambia por completo y la base de datos quedará inaccesible.

Muy importante: no utilices como archivo clave algo descargado de Internet cuyo hash sea público (por ejemplo, la ISO de una distribución Linux cuyo checksum aparezca en la web del proyecto). Cualquiera podría replicar ese fichero, obtener el mismo hash y, si conociera tu contraseña maestra, abrir tu bóveda. Lo correcto es usar un archivo creado por ti y guardar copias de seguridad en lugares seguros.

Si el archivo clave se borra, se corrompe o se modifica, la base de datos dejará de abrirse. KeePassXC no tiene “puertas traseras”: sin contraseña maestra válida y sin archivo clave correcto, la información se pierde definitivamente. Por eso, además de proteger bien la contraseña maestra, conviene hacer copias del archivo clave y no tocarlo nunca después de configurarlo.

Instalación de KeePassXC en distintos sistemas

Gestión segura de contraseñas con KeePassXC

La forma de instalar KeePassXC varía un poco según el sistema operativo, pero en general el proceso es sencillo y rápido.

Windows y macOS

En Windows y macOS lo más cómodo es ir a la web oficial de KeePassXC (keepassxc.org) y descargar el instalador correspondiente a tu sistema. En Windows encontrarás un ejecutable con la versión estable (por ejemplo, 2.7.10) y en macOS un paquete listo para arrastrar a Aplicaciones.

Tras ejecutar el instalador y seguir el asistente, solo tendrás que abrir la aplicación y elegir la opción de Crear nueva base de datos. En Mac la interfaz es prácticamente idéntica a la de Windows y Linux, ya que KeePassXC usa Qt y mantiene la misma estructura en todas las plataformas.

Linux (Debian, Ubuntu y similares)

En distribuciones GNU/Linux puedes instalar KeePassXC desde los repositorios oficiales o mediante paquetes tipo Snap. En Debian, por ejemplo, basta con instalar el paquete keepassxc desde Synaptic o con:

sudo apt install keepassxc

En Ubuntu también dispones de la versión Snap, normalmente más actual que la de los repositorios. La instalas con:

sudo snap install keepassxc

En ambos casos tendrás acceso a la misma aplicación, con algunas diferencias menores de integración visual según el entorno de escritorio. La funcionalidad es la misma, así que puedes elegir el método que mejor encaje en tu sistema y política de actualizaciones.

Crear tu primera base de datos en KeePassXC

Una vez instalado, el primer paso es crear la bóveda donde guardarás todas tus contraseñas. El proceso es guiado y apenas lleva unos minutos, pero conviene entender qué estás haciendo en cada pantalla.

Al abrir KeePassXC verás opciones como Crear nueva base de datos, Abrir base de datos existente o Importar. Si es la primera vez que usas un gestor de contraseñas, quédate con la opción de crear una base nueva desde cero.

Lo habitual es que KeePassXC te pida primero el nombre del archivo y la ubicación. El fichero tendrá extensión .kdbx y puedes guardarlo en tu carpeta personal, en un directorio sincronizado con la nube o en un volumen cifrado adicional si quieres más capas de protección.

Después pasarás a una pantalla donde defines el nombre y una posible descripción de la base de datos. Esto es útil si piensas compartirla con más gente (por ejemplo, en un equipo de trabajo) o si vas a tener varias bóvedas con fines distintos y quieres identificarlas fácilmente.

Llegados a la sección de cifrado, verás opciones avanzadas como el algoritmo, el número de iteraciones de la función de derivación de claves y un control deslizante de “tiempo de descifrado”. En la mayoría de casos, la configuración predeterminada es suficiente: cuanto más tiempo de descifrado establezcas, más costoso será para un atacante probar contraseñas, pero también tardarás algo más en desbloquear tu bóveda.

El siguiente paso es elegir la contraseña maestra y, si lo deseas, añadir protección adicional con archivo clave y/o desafío-respuesta (por ejemplo, mediante YubiKey). Desde ese asistente también puedes generar una contraseña aleatoria para la bóveda y ver en tiempo real su fortaleza.

Una vez definidas las credenciales de la base de datos y, opcionalmente, el archivo clave, el asistente te pedirá dónde guardar definitivamente el archivo KDBX. A partir de ese momento, ya tendrás tu bóveda lista para empezar a rellenarla con entradas, grupos y notas seguras.

Organización: grupos, entradas y bases de datos adicionales

Con la base de datos creada, toca pensar en cómo vas a organizar toda la información. KeePassXC te permite estructurar tus contraseñas de forma muy flexible, de manera que siga estando todo controlado incluso cuando la bóveda crece con los años.

La estructura básica se compone de grupos (y subgrupos) y entradas. Los grupos funcionan como carpetas y subcarpetas; las entradas son las cuentas concretas, con su usuario, contraseña, URL y demás campos.

Para crear un grupo nuevo, ve al menú Grupos → Añadir nuevo grupo. Ponle un nombre representativo (por ejemplo, “Banca”, “Trabajo”, “Redes sociales”) y, si quieres, una breve descripción. También puedes asignarle un icono propio para reconocerlo de un vistazo.

Dentro de cada grupo podrás crear subgrupos para afinar todavía más la clasificación, algo útil si, por ejemplo, quieres separar contraseñas personales de corporativas dentro de un mismo ámbito. No hay límites estrictos: puedes organizarlo como mejor se adapte a tu forma de trabajar.

Las entradas se crean desde el menú Entradas → Añadir nueva entrada o con el botón de la barra de herramientas. Lo mínimo que deberías rellenar es:

  • Título: algo que te ayude a identificar de qué servicio se trata (“Gmail personal”, “Cuenta Amazon trabajo”, etc.).
  • Nombre de usuario: el login que utilizas.
  • Contraseña: puedes escribirla tú o dejar que KeePassXC la genere.
  • URL: la dirección de inicio de sesión, para abrirla luego de un doble clic.

A partir de ahí puedes aprovechar pestañas adicionales como Avanzado (para adjuntar archivos o definir atributos personalizados), TOTP (para activar códigos de un solo uso basados en tiempo), notas, fechas de caducidad de la entrada y más.

Si quieres compartimentar todavía más tu seguridad, KeePassXC te permite crear múltiples bases de datos con contraseñas maestras distintas y, si quieres, ubicaciones separadas. Por ejemplo, una bóveda personal y otra corporativa, o una general y otra solo para cuentas críticas como banca y correo principal.

Integración de KeePassXC con el navegador

Donde realmente se nota la comodidad de un gestor de contraseñas es al usarlo en el día a día en el navegador. KeePassXC cuenta con una extensión específica, KeePassXC-Browser, que permite autocompletar usuarios y contraseñas directamente en las webs sin tener que copiar y pegar.

Los pasos básicos para configurarlo son:

  1. En KeePassXC, ve a Herramientas → Configuración → Integración con el navegador y activa los navegadores que quieras usar.
  2. Instala la extensión correspondiente desde la tienda de tu navegador (Chrome Web Store, tienda de Firefox, etc.).
  3. Abre el panel de la extensión en el navegador y pulsa en Conectar.
  4. Desde KeePassXC, acepta la solicitud de conexión y, si quieres, asigna un nombre a la vinculación para reconocerla más adelante.

A partir de ahí, siempre que KeePassXC esté abierto y la base de datos desbloqueada, la extensión podrá buscar y proponer las entradas correspondientes a la web en la que estés. En el primer uso en un dominio nuevo, el cliente de escritorio te mostrará un diálogo preguntando qué entradas deseas asociar y si quieres recordar esa decisión.

Un consejo práctico: configura KeePassXC para que se inicie automáticamente con el sistema y evita cerrarlo del todo por error (sobre todo en macOS, donde cerrar la ventana puede cerrar también la app). Así tendrás siempre la bóveda lista para integrarse con el navegador y no te encontrarás con la extensión “desconectada” a mitad de una tarea.

Uso avanzado: TOTP, auditoría de contraseñas y funciones extra

Además del uso básico de guardar y rellenar credenciales, KeePassXC incluye herramientas pensadas para quienes quieren llevar su seguridad un paso más allá y tener controladas las debilidades de su “ecosistema” de contraseñas.

En la sección de informes de la base de datos (normalmente en Base de datos → Informes de base de datos) encontrarás análisis como:

  • Contraseñas débiles: detecta claves demasiado cortas o con poca entropía.
  • Contraseñas reutilizadas: identifica entradas que comparten la misma contraseña, algo a evitar siempre.
  • Contraseñas antiguas: te ayuda a localizar cuentas que llevan mucho tiempo sin cambiarse.

En cuanto a la autenticación en dos pasos, KeePassXC puede almacenar la clave secreta que normalmente escanearías con una app TOTP. En la pestaña TOTP de cada entrada puedes introducir la clave manualmente o, si la app lo soporta, pegar el código proporcionado por el servicio. A partir de entonces, KeePassXC generará los códigos temporales que necesitas al iniciar sesión.

Para usuarios avanzados, hay funciones especialmente útiles, como el agente SSH integrado (que te permite gestionar claves SSH desde la propia base de datos), el uso de KeePassXC como proveedor del Servicio Secreto de FreeDesktop.org (sustituyendo llaveros como GNOME Keyring) o la herramienta de línea de comandos keepassxc-cli para automatizar tareas en scripts.

Todo esto se complementa con la posibilidad de descargar los iconos de los sitios (favicons) a través de servicios como DuckDuckGo, haciendo que la lista de entradas sea más visual, y con temas claros y oscuros adaptados a tu entorno de escritorio.

Sincronizar la base de datos entre dispositivos y usuarios

Por diseño, KeePassXC no incluye sincronización en la nube integrada. Esto no significa que no puedas usar tu bóveda en varios dispositivos, sino que tienes libertad para elegir el sistema de sincronización que más te convenga, manteniendo siempre el archivo KDBX cifrado.

Para un uso personal, lo más sencillo suele ser guardar la base de datos en una carpeta sincronizada con servicios como Google Drive, Dropbox, Nextcloud o Synology Drive. Desde el móvil, gracias a apps compatibles con KDBX que se integran con la app Archivos de Android o iOS, puedes abrir esa misma base de datos con tu contraseña maestra y, si procede, con tu archivo clave.

En entornos empresariales, la base de datos puede compartirse mediante OneDrive, SharePoint, Google Drive (en Workspace) u otras soluciones on-premise. Varios empleados pueden acceder simultáneamente a la misma bóveda, con la sincronización de cambios gestionada por el servicio de archivos subyacente.

Si la prioridad máxima es la privacidad frente a proveedores externos, hay alternativas como Resilio Sync, que funciona en modo punto a punto (P2P) y sin pasar por servidores de terceros. Es una opción muy interesante para organizaciones que quieren control absoluto sobre dónde residen sus datos.

En todos los casos, conviene recordar que, aunque la base de datos viaje por la nube o por redes P2P, permanece cifrada de extremo a extremo. El verdadero riesgo está en quién conoce la contraseña maestra y quién posee el archivo clave, no en el mero hecho de que el KDBX esté alojado en un proveedor u otro.

Si compartes la bóveda con otros usuarios, asegúrate de entregar la contraseña maestra y cualquier archivo clave por canales distintos y seguros (nunca por el mismo correo o chat que uses para compartir el archivo de la base de datos) y limita el acceso solo al personal estrictamente necesario.

Política de copias de seguridad y riesgos a tener en cuenta

Una vez montado el sistema, hay dos riesgos principales que debes gestionar: por un lado, perder el acceso a la base de datos (por fallo de disco, borrado accidental, olvido de la contraseña maestra o pérdida del archivo clave) y, por otro, que el archivo caiga en manos de terceros.

Para mitigar el primer riesgo es imprescindible mantener copias de seguridad del archivo KDBX y, si lo usas, del archivo clave. Estas copias deberían estar en ubicaciones físicas o lógicas distintas (otro disco, otro equipo, un dispositivo externo guardado en lugar seguro, etc.). Piensa también en escenarios de incendio, robo o pérdida del equipo principal.

Respecto al segundo riesgo, la clave está en una contraseña maestra sólida, en no exponer innecesariamente el archivo y en no dejarlo en ubicaciones accesibles para cualquiera con acceso al ordenador. Aunque el cifrado protege el contenido, siempre es buena idea reducir la superficie de ataque: cifrado de disco completo, cuentas limitadas sin privilegios de administrador, uso de llaves físicas como segundo factor, etc.

Ten muy presente que, por diseño, KeePassXC no permite recuperar una base de datos si olvidas la contraseña maestra y no dispones del archivo clave. No hay función de “olvidé mi contraseña”. Esto es precisamente lo que evita la existencia de puertas traseras aprovechables por un atacante, pero implica que tú debes ser muy cuidadoso a la hora de gestionar tus credenciales maestras.

Combinando una buena política de copias de seguridad, una ubicación sensata del archivo, y factores extra como YubiKey, Resilio Sync o almacenamiento en nubes privadas, puedes construir un sistema de gestión de contraseñas extremadamente robusto para uso personal o corporativo.

En conjunto, KeePassXC ofrece una mezcla muy potente: control total sobre tus datos, cifrado fuerte, ausencia de suscripciones y un conjunto de funciones avanzadas que encajan tanto para usuarios avanzados como para empresas con personal mínimamente formado. Requiere algo más de curva de aprendizaje que un gestor 100 % en la nube, pero a cambio te da una bóveda de contraseñas flexible, ampliable y bajo tu exclusiva responsabilidad, justo lo que muchos buscan cuando se toman en serio su seguridad digital.

Conoce las mejores aplicaciones administradoras de contraseñas para Android
Artículo relacionado:
Conoce las mejores aplicaciones administradoras de contraseñas para Android