Passbolt: ¿El Gestor de Contraseñas Open Source Definitivo?

En el mundo de la ciberseguridad y la administración de sistemas, gestionar contraseñas en equipo es un dolor de cabeza crónico. La importancia de usar contraseñas seguras es crítica, pero ¿quién no ha visto credenciales en un passwords.txt en una carpeta compartida, o peor, en un Excel? Para solucionar este caos, existen muchas herramientas, pero pocas tienen el ADN de seguridad y la filosofía de código abierto de Passbolt.

Hoy ponemos bajo el microscopio a Passbolt, el gestor de contraseñas open source diseñado en Europa y pensado desde el minuto cero para equipos técnicos, agencias y empresas que se toman la seguridad en serio. No es solo un “almacén de claves”, es una plataforma colaborativa construida sobre una base criptográfica sólida: OpenPGP. Su código es totalmente auditable, lo que refuerza la confianza.

Vamos a desgranar por qué está ganando tanta tracción y si de verdad es una alternativa sólida a gigantes y otros gestores de contraseñas como Bitwarden o soluciones clásicas como KeePass.

En pocas palabras: ¿Qué es Passbolt?

Passbolt es un gestor de contraseñas open source diseñado específicamente para equipos técnicos y empresas. Su principal característica es el uso de OpenPGP para un cifrado de extremo a extremo real, donde el servidor nunca tiene acceso a las claves en texto plano. Ofrece una versión comunitaria gratuita y autoalojable (self-hosted).

Diagrama de la arquitectura del gestor de contraseñas open source Passbolt — La seguridad de Passbolt se basa en OpenPGP, garantizando un cifrado real de extremo a extremo.

¿Por Qué Passbolt? La Clave está en la Community Edition
La Fortaleza de Passbolt: Seguridad y Cifrado con OpenPGP
Despliegue Rápido: Instalar Passbolt con Docker Compose
Uso en el Día a Día: Compartir Secretos sin Romper la Seguridad
Administración para Geeks: Usuarios, Grupos y RBAC
Veredicto Final: ¿Merece la Pena Passbolt?
Preguntas Frecuentes (FAQ)

Tabla de Contenido

¿Por Qué Passbolt? La Clave está en la Community Edition
La Fortaleza de Passbolt: Seguridad y Cifrado con OpenPGP
Despliegue Rápido: Instalar Passbolt con Docker Compose
Uso en el Día a Día: Compartir Secretos sin Romper la Seguridad
Administración para Geeks: Usuarios, Grupos y RBAC
Veredicto Final: ¿Merece la Pena Passbolt?
Preguntas Frecuentes (FAQ)

¿Por Qué Passbolt? La Clave está en la Community Edition

Lo primero que salta a la vista es su modelo. Passbolt se ofrece en tres sabores, pero el que nos interesa a los geeks es la Passbolt Community Edition (CE):

Community Edition (CE): Totalmente gratuita, para uso personal o profesional y basada en código abierto. Sin límite de usuarios ni de contraseñas. La única “condición” es que la tienes que auto-alojar (self-hosted). Y para nosotros, eso no es una condición, es la principal ventaja de un sistema passbolt self hosted. Control total sobre tus datos.
Pro (Business) y Enterprise: Versiones de pago que añaden funcionalidades empresariales como integración con LDAP/Active Directory, SSO, soporte SCIM y opciones SaaS (cloud). Son potentes, pero la versión CE ya cubre el 90% de las necesidades de un equipo técnico.

La gran diferencia frente a otros es que Passbolt no te empuja a su nube. Te da las herramientas para que montes tu propia fortaleza de secretos.

La Fortaleza de Passbolt: Seguridad y Cifrado con OpenPGP

Aquí es donde Passbolt se pone interesante y demuestra la robustez de la seguridad de Passbolt. Su arquitectura de seguridad se basa en un principio de conocimiento cero (zero-knowledge) llevado al extremo gracias a OpenPGP. Puedes consultar todos los detalles en su página oficial de seguridad.

Así funciona el flujo, en lenguaje llano:

Tu Propia Llave Maestra: Cada usuario genera un par de claves OpenPGP (pública y privada). Tu clave pública se comparte con el servidor Passbolt para que otros puedan cifrar cosas para ti.
La Clave Privada NUNCA sale de tu equipo: Tu clave privada, la que descifra tus secretos, se queda contigo. Está protegida por una passphrase (contraseña maestra) que solo tú conoces.
Cifrado de Extremo a Extremo REAL: El cifrado y descifrado ocurren siempre en el cliente (tu navegador o app). El servidor solo almacena “blobs” de datos cifrados. Ni los administradores de Passbolt ni un atacante que comprometa el servidor podrán ver tus contraseñas en texto plano.
Compartir es Seguro: Cuando compartes una contraseña con un compañero, tu cliente pide la clave pública de ese compañero al servidor, cifra la contraseña con ella y la envía. Solo tu compañero, con su clave privada, podrá descifrarla.

¡Ojo al dato! (OpSec Critical): Este modelo es increíblemente seguro, pero tiene una consecuencia directa: TÚ eres el responsable de tu clave privada. Si la pierdes y olvidas tu passphrase, despídete de tus contraseñas. No hay un botón de “He olvidado mi contraseña”. Haz un backup seguro de ese fichero de clave privada. Es tu llave del reino.

Despliegue Rápido: Instalar Passbolt con Docker Compose

Olvídate de instalaciones manuales complejas. La forma más rápida y limpia de tener Passbolt funcionando es con Docker. Aquí te dejamos un passbolt docker compose básico para que lo levantes en minutos.

version: '3.4'

services:
  db:
    image: mariadb:10.9
    container_name: passbolt-db
    restart: always
    volumes:
      - db_data:/var/lib/mysql
    environment:
      - MYSQL_ROOT_PASSWORD=unacontraseñamuyseguraparaelroot
      - MYSQL_DATABASE=passbolt
      - MYSQL_USER=passbolt
      - MYSQL_PASSWORD=unacontraseñamuyseguraparaeluser

  passbolt:
    image: passbolt/passbolt:latest-ce
    container_name: passbolt-server
    restart: always
    depends_on:
      - db
    ports:
      - "8080:80" # Mapea el puerto 80 del contenedor al 8080 de tu host
    environment:
      - DATASOURCES_DEFAULT_HOST=db
      - DATASOURCES_DEFAULT_USERNAME=passbolt
      - DATASOURCES_DEFAULT_PASSWORD=unacontraseñamuyseguraparaeluser
      - DATASOURCES_DEFAULT_DATABASE=passbolt
      # ¡IMPORTANTE! Configura esta línea con tu dominio o IP pública
      - APP_FULL_BASE_URL=https://passbolt.tu-dominio.com
    volumes:
      - gpg_data:/etc/passbolt/gpg

volumes:
  db_data:
  gpg_data:

Guarda esto como docker-compose.yml, ajusta las contraseñas y el APP_FULL_BASE_URL, y ejecuta docker-compose up -d. Tras unos minutos, podrás acceder a la interfaz web para la configuración inicial, que incluye la creación del primer usuario administrador y la generación de sus claves PGP.

Nota importante:

Para un setup más seguro y actualizado, descarga el compose oficial verificado desde la documentación oficial de Passbolt Docker:

  curl -LO https://download.passbolt.com/ce/docker/docker-compose-ce.yaml
  curl -LO https://github.com/passbolt/passbolt_docker/releases/latest/download/docker-compose-ce-SHA512SUM.txt

Y verifica el checksum con sha512sum -c docker-compose-ce-SHA512SUM.txt.

En producción, usa una versión taggeada específica (ej: passbolt/passbolt:5.8.0-ce) en lugar de latest-ce para evitar sorpresas.
Configura las variables de email/SMTP (EMAIL_* en el compose) para que lleguen notificaciones e invitaciones.
Obligatorio en producción: configura HTTPS reverse proxy con certificado válido (Let’s Encrypt es lo más sencillo y automático).

Interfaz de Passbolt Community Edition mostrando la gestión de secretos — La interfaz de Passbolt es limpia y funcional, facilitando la gestión segura de credenciales en equipo.

Uso en el Día a Día: Compartir Secretos sin Romper la Seguridad

Una vez dentro, la interfaz es limpia y funcional.

Crear Secretos: Puedes guardar contraseñas, notas seguras, claves SSH, tokens TOTP para 2FA, y añadir campos personalizados. Muy flexible.
Organización: Carpetas, subcarpetas y favoritos. Lo estándar, pero funciona bien.
Compartir Credenciales: Aquí brilla. Puedes compartir un solo secreto o una carpeta entera con usuarios o grupos. Los permisos son granulares: solo lectura, modificar o propietario. Esto es perfecto para gestionar accesos por departamento (Sistemas, Desarrollo, etc.).
Extensión de Navegador: La extensión de Passbolt es el corazón de la experiencia. Detecta los campos de login y te permite autocompletar. Funciona en Chrome, Firefox, Edge y derivados.

Administración para Geeks: Usuarios, Grupos y RBAC

La consola de administración es sencilla pero potente.

Gestión de Usuarios y Grupos: Crear usuarios y asignarlos a grupos es trivial. Esto, combinado con el uso compartido basado en grupos, es la forma correcta de gestionar los permisos a escala.
Auto-registro: Puedes permitir que usuarios con un dominio de email específico (@tuempresa.com) se registren solos, ahorrándote el trabajo manual.
Control de Acceso (RBAC): La versión CE tradicionalmente tiene dos roles principales (Admin/Usuario), pero desde la v5.8 (diciembre 2025) permite crear roles personalizables para un control más granular. Además, te permite definir políticas globales, como impedir que los usuarios exporten las contraseñas, añadiendo una capa extra de control.

Veredicto Final: ¿Merece la Pena Passbolt?

Sí, y rotundamente.

Passbolt no es para todo el mundo. Si buscas la máxima comodidad y no te importa depender de un tercero, quizás otras opciones sean más directas.

Pero si eres parte de un equipo técnico, un administrador de sistemas, un desarrollador, o simplemente un entusiasta de la seguridad que valora el control, la soberanía de los datos y la transparencia del código abierto, Passbolt es una de las mejores soluciones que existen hoy en día.

Su modelo de seguridad basado en OpenPGP es robusto y te obliga a seguir buenas prácticas de OpSec. La versión comunitaria es increíblemente generosa y más que suficiente para la mayoría de equipos. Además, su desarrollo es muy activo (en noviembre de 2025 se añadió el historial de secretos en la v5.7, y en diciembre de 2025 llegaron los roles personalizables y gestión dinámica de RBAC en la v5.8, como se puede ver en su changelog oficial), lo que garantiza que la herramienta sigue evolucionando.

En resumen: si buscas un gestor de contraseñas para tu equipo que puedas auditar, controlar y que esté diseñado por y para paranoicos de la seguridad, tienes que probar Passbolt.

Preguntas Frecuentes (FAQ)

¿Passbolt es mejor que Bitwarden (o Vaultwarden)?

No es “mejor”, es “diferente”. La comparativa Passbolt vs Bitwarden (o Vaultwarden vs Passbolt) se reduce a la filosofía de seguridad. Bitwarden es más fácil de empezar a usar para un usuario no técnico. Passbolt tiene una curva de aprendizaje inicial ligeramente mayor debido a la gestión de claves PGP, pero su modelo de seguridad es, argumentablemente, más robusto al no depender solo de una contraseña maestra. Por eso, para algunos, Bitwarden es una buena alternativa a Passbolt, y viceversa.

¿Es Passbolt realmente gratuito?

La Passbolt Community Edition (CE) es 100% gratuita y de código abierto (licencia AGPLv3). No hay trucos. Las versiones de pago financian el desarrollo y ofrecen funcionalidades para grandes empresas.

¿Qué pasa si pierdo mi clave privada de PGP?

Estás en problemas. Sin esa clave, no hay forma de acceder a tus secretos. Es fundamental que hagas una copia de seguridad de tu clave privada en un lugar seguro (un pendrive cifrado, un gestor de archivos seguro, etc.) en cuanto la generes.

Burp Suite Pro: Guía Completa de Pentesting Web Avanzado

Pruebas de Penetración en Exchange Server: Guía Técnica

Exegol: La Guía Definitiva del Entorno Docker para Seguridad Ofensiva

Análisis de OpenClaw: Riesgos, Skills Maliciosas y Seguridad

Guía de Escritorio Remoto Seguro sin Abrir Puertos

BFU vs. AFU: Cómo Superar la Revisión de Móvil en la Aduana

Desactivar la IA de Windows 11: Guía del Script RemoveWindowsAI

iPhone 13 Pro Max: ¿Vale la Pena Comprarlo en 2025?

Cómo solucionar el Explorador de Archivos lento en Windows 11

Guía para Convertir Presentaciones PDF de NotebookLM a PowerPoint Editable

Nikto: Qué es y para qué sirve un escáner de vulnerabilidades

Los Mejores Gadgets para Hacking Ético en 2026

Seguridad en Criptomonedas: Análisis de Riesgos y Vulnerabilidades

10 Mujeres Hackers que Cambiaron la Historia (y Debes Conocer)

Grey Hat SEO: Guía Técnica de Estrategias y Riesgos

Passbolt a Examen: El Gestor de Contraseñas Open Source

¿Por Qué Passbolt? La Clave está en la Community Edition

La Fortaleza de Passbolt: Seguridad y Cifrado con OpenPGP

Despliegue Rápido: Instalar Passbolt con Docker Compose

Uso en el Día a Día: Compartir Secretos sin Romper la Seguridad

Administración para Geeks: Usuarios, Grupos y RBAC

Veredicto Final: ¿Merece la Pena Passbolt?

Preguntas Frecuentes (FAQ)

¿Passbolt es mejor que Bitwarden (o Vaultwarden)?

¿Es Passbolt realmente gratuito?

¿Qué pasa si pierdo mi clave privada de PGP?

Guía para Convertir Presentaciones PDF de NotebookLM a PowerPoint Editable

Nikto: Qué es y para qué sirve un escáner de vulnerabilidades

Rogueware: Qué son, Cómo Actúan y Cómo Reconocerlos

Ataque XSS: Guía Completa para Entender y Prevenir esta Vulnerabilidad

pdfcrack: Recuperar Contraseña de Archivo PDF Protegido

Mi Carro Close (×)

Passbolt a Examen: El Gestor de Contraseñas Open Source

¿Por Qué Passbolt? La Clave está en la Community Edition

La Fortaleza de Passbolt: Seguridad y Cifrado con OpenPGP

Despliegue Rápido: Instalar Passbolt con Docker Compose

Uso en el Día a Día: Compartir Secretos sin Romper la Seguridad

Administración para Geeks: Usuarios, Grupos y RBAC

Veredicto Final: ¿Merece la Pena Passbolt?

Preguntas Frecuentes (FAQ)

¿Passbolt es mejor que Bitwarden (o Vaultwarden)?

¿Es Passbolt realmente gratuito?

¿Qué pasa si pierdo mi clave privada de PGP?

Mi Carro Close (×)

SUSCRÍBETE