Vaultwarden sin reenvío de puertos: Guía práctica de seguridad para servidores domésticos

Operar tu propio gestor de contraseñas es fascinante, pero a la vez aterrador. La idea de que el servidor que contiene las llaves de todas tus cuentas esté expuesto "desnudo" en el océano de Internet puede quitarte el sueño. Levantar Vaultwarden con Docker es solo el comienzo; necesitas una estrategia de supervivencia concreta para evadir los escaneos de los hackers y proteger tus datos de desastres físicos como fallos de hardware.

Bloqueo de exposición externa: Por qué debes abandonar el reenvío de puertos

En el momento en que abres los puertos 80 o 443 en la configuración de tu router, tu servidor se convierte en presa de bots de todo el mundo. Soportar ataques de fuerza bruta que intentan iniciar sesión miles de veces por minuto es una pesadilla. La defensa más segura es, simplemente, eliminar la puerta.

Con Cloudflare Tunnel, puedes acceder desde el exterior sin abrir puertos. Funciona estableciendo un túnel de salida desde el interior de tu servidor hacia el borde de Cloudflare, por lo que tu IP pública nunca queda expuesta. Crea un túnel en el panel de control, ejecuta el conector cloudflared en tu servidor y conecta la dirección interna http://localhost:80. Cloudflare se encargará incluso de la compleja renovación de los certificados SSL. Una vez configurado, podrás disfrutar plenamente de la tranquilidad que brinda el icono del candado en la barra de direcciones del navegador.

Estrategia de supervivencia de datos: Automatización de copias de seguridad 3-2-1

Los servidores fallan, es inevitable. Si tu SSD se detiene mañana y no puedes restaurarlo en 5 minutos, ese servidor no es más que un juguete. Especialmente con la base de datos SQLite que utiliza Vaultwarden, existe una alta probabilidad de que los datos se corrompan si simplemente copias el archivo mientras el servicio está en ejecución.

Para un respaldo seguro, combina Rclone con la función de respaldo en línea de SQLite. Primero, crea una instantánea (snapshot) de la base de datos sin interrumpir el servicio con el siguiente comando:

sqlite3 /data/db.sqlite3 ".backup /backup/db.sqlite3"

Luego, utiliza la función crypt de Rclone para sincronizar el archivo cifrado con Google Drive o S3. Escribe este proceso en un script de shell, regístralo en Crontab y haz que se ejecute cada madrugada. Incluso si tu casa se quema o el servidor se destruye, tu vida digital resucitará instantáneamente gracias a la copia de seguridad cifrada en la nube.

Colaboración y herencia: Diseñando la seguridad familiar con organizaciones

Un gestor de contraseñas no es una herramienta para usar en solitario. Es hora de terminar con la anticuada costumbre de enviar la cuenta de Netflix o la clave del Wi-Fi familiar por aplicaciones de mensajería. Vaultwarden ofrece de forma ilimitada la función de Organizaciones (Organization), que normalmente es de pago en otros servicios.

Primero, cambia SIGNUPS_ALLOWED a false en la página de administración (/admin) para evitar que desconocidos se registren. Luego, crea una organización, invita a tu familia y configura "colecciones". Puedes asignar permisos de edición o lectura de forma detallada para cada elemento. No olvides configurar el Acceso de Emergencia (Emergency Access) para que, en caso de que algo me suceda, mi esposa pueda acceder a las cuentas financieras. Esto es más que una simple conveniencia; es una preparación para la herencia digital.

Optimización de recursos: Manteniendo un 99.9% de disponibilidad en dispositivos de gama baja

En una Raspberry Pi o un NAS antiguo, los recursos son valiosos. Por muy ligero que sea Vaultwarden, si los registros se acumulan y el caché de iconos se desborda, el sistema sufrirá. Para un entorno fluido, establece ICON_CACHE_TTL en 0 en la configuración de Docker Compose para reducir el desperdicio de red, y limita DATABASE_MAX_CONNS a unos 10 para prevenir picos de memoria.

Añadir Uptime Kuma a la mezcla lo hace perfecto. Configúralo para que verifique la dirección /alive de Vaultwarden cada minuto y conéctalo a un bot de Telegram. Saber que el servidor se ha caído antes que los usuarios es la cortesía mínima que debe tener un administrador individual.

El toque final: Reforzando la seguridad del cliente

Por muy robusto que sea el servidor, no sirve de nada si el usuario es descuidado. Si obtienes errores de cadena SSL al conectar con la app del smartphone, revisa la configuración de los certificados intermedios; Android e iOS son estrictos con los estándares de seguridad.

En las extensiones del navegador, asegúrate de activar el desbloqueo biométrico mediante Windows Hello o Touch ID. Esto te libera del riesgo de keylogging (captura de pulsaciones de teclado). Por último, ajusta el tiempo de espera de la bóveda a "15 minutos de inactividad". Debemos evitar la terrible situación en la que alguien revise todas tus contraseñas mientras te ausentas un momento. Con esto, habrás completado tu propia fortaleza de seguridad, que no tiene nada que envidiar a los servicios comerciales.