En los últimos años gestionar las contraseñas se ha convertido en un auténtico quebradero de cabeza. Cada vez usamos más servicios online, bancos, redes sociales, herramientas de trabajo y aplicaciones que nos exigen claves distintas, largas y complejas (aprender a crear una contraseña segura). Confiar en la memoria, en una libreta o en el bloc de notas del ordenador ya no es una opción segura. Si quieres dormir tranquilo, necesitas un buen gestor de contraseñas que haga el trabajo duro por ti.
Dentro de todas las alternativas disponibles, KeePassXC se ha ganado un hueco especial entre usuarios avanzados y empresas que valoran la privacidad. Es un gestor de contraseñas local, de código abierto y multiplataforma que te permite mantener el control absoluto sobre tu base de datos, sin depender de ninguna nube propietaria. En esta guía completa vas a aprender qué es, cómo funciona y cómo exprimirlo a fondo. Tanto en tu PC como en el navegador y en el móvil.
Qué es KeePassXC y por qué merece la pena usarlo
KeePassXC es un gestor de contraseñas que se ejecuta en tu equipo y guarda todas tus claves en un archivo cifrado con extensión .kdbx. Ese archivo actúa como una caja fuerte digital: solo se abre con una contraseña maestra (y, si quieres, con factores adicionales como un archivo llave o una llave física tipo YubiKey o Nitrokey). Al funcionar de forma local de serie, ninguna empresa externa tiene tus contraseñas, a menos que tú decidas sincronizar el archivo usando servicios de terceros.
Este enfoque lo convierte en una herramienta muy atractiva para usuarios que priorizan la privacidad y para organizaciones que no quieren delegar la gestión de credenciales en un proveedor cloud. KeePassXC es software libre, su código se puede auditar y está disponible para Windows, macOS y Linux, con aplicaciones compatibles en Android e iOS para acceder a la base de datos desde el móvil.
Su base de datos está protegida con cifrado moderno (como AES‑256) y algoritmos de derivación de clave robustos. Esto significa que, aunque alguien consiga el archivo .kdbx, sin la contraseña maestra y los posibles factores extra le resultará prácticamente imposible descifrar su contenido. La seguridad real recae en la fortaleza de la clave maestra y en tu política de copias de seguridad.
Además del almacenamiento seguro, KeePassXC incluye muchas funciones orientadas a la comodidad y a mejorar tus hábitos de seguridad: generación de contraseñas robustas, autocompletado en navegadores, gestión de TOTP (2FA), auditoría de contraseñas débiles o duplicadas, integración con hardware de seguridad y un sistema potente de organización mediante grupos y etiquetas.
Funciones clave de KeePassXC como gestor de contraseñas
Antes de meternos en la instalación, conviene repasar de forma ordenada qué aporta KeePassXC frente a guardar las contraseñas en el navegador o en un documento suelto. La aplicación cubre prácticamente todo lo que cabe esperar de un gestor moderno, pero sin depender de la nube.
Por un lado, centraliza todas tus credenciales en un único archivo cifrado. Ahí puedes guardar usuarios, contraseñas, URLs, notas, archivos adjuntos y atributos personalizados (por ejemplo, respuestas de seguridad o datos de recuperación). Dejas de tener la información desperdigada y reduces el riesgo de usar la misma contraseña en muchos sitios.
También incorpora un potente generador de contraseñas. Cada vez que creas una entrada puedes lanzar el generador y obtener claves largas y complejas con la combinación exacta de mayúsculas, minúsculas, números y símbolos que necesites. Al no tener que memorizarlas, te puedes permitir contraseñas realmente fuertes y únicas para cada servicio.
Otra pieza fundamental es el autocompletado. Gracias a la integración con los principales navegadores, KeePassXC es capaz de rellenar automáticamente formularios de inicio de sesión cuando visitas las páginas correspondientes. Esto ahorra tiempo y, de paso, reduce errores tontos al teclear contraseñas largas a mano.
En cuanto al control de calidad de lo que guardas, la aplicación dispone de informes de seguridad que detectan contraseñas repetidas, claves antiguas que deberías renovar o entradas que no cumplen un nivel mínimo de fortaleza. Con un par de clics puedes revisar el estado de tu «higiene digital» y tomar decisiones.
Por último, destaca su flexibilidad para sincronizar. Aunque KeePassXC no trae sincronización en la nube integrada, puedes colocar el archivo .kdbx en Google Drive, Dropbox, OneDrive, Nextcloud, Syncthing, Resilio Sync o incluso un NAS. Las opciones van desde la típica nube pública hasta soluciones P2P sin servidores intermediarios, ideales para entornos muy sensibles.
Instalar KeePassXC en Windows
El primer paso para empezar a trabajar con KeePassXC es instalarlo en tu ordenador principal. Casi siempre será el lugar más cómodo para configurar la base de datos. Desde el escritorio es mucho más sencillo crear la bóveda, importar contraseñas antiguas y dejar todo listo antes de llevar la base de datos al móvil.
En cualquier sistema operativo lo recomendable es acudir a la web oficial del proyecto (keepassxc.org) y descargar el instalador correspondiente. En Windows tendrás un instalador clásico.
Para entornos donde la seguridad es crítica o en los que necesitas compatibilidad con hardware reciente, puede ser preferible optar por la versión más nueva disponible, incluso como Flatpak. En cambio, en estaciones de trabajo estables quizás te interese más priorizar la integración con el sistema y la simplicidad de mantenimiento. En todo caso, funcionalmente las versiones actuales de KeePassXC son equivalentes entre sí.
Una vez que completes la instalación en tu equipo, abre la aplicación. La pantalla de bienvenida te mostrará opciones para crear una base de datos nueva, abrir una ya existente o importar desde otros formatos como KeePass 1.x o CSV. A partir de ahí empieza la verdadera configuración de tu bóveda.
Crear tu primera base de datos y definir la contraseña maestra
Cuando arrancas KeePassXC por primera vez y eliges crear una nueva base de datos, el programa te pedirá que indiques un nombre para la bóveda, una descripción opcional y la ubicación donde guardar el archivo .kdbx. Lo más habitual es empezar guardándola en tu carpeta personal. Más adelante podrás moverla a una carpeta sincronizada en la nube o a un directorio compartido en red.
El siguiente paso es configurar las opciones de cifrado. KeePassXC propone por defecto parámetros sólidos, con algoritmos robustos y un número de iteraciones adecuado para que el derivado de la clave sea costoso de calcular para un atacante. En la mayoría de los casos puedes dejar estos ajustes tal cual vienen, salvo que tengas necesidades muy específicas de rendimiento o compatibilidad. Siempre podrás revisarlos más adelante desde las opciones de seguridad de la base de datos.
Llega entonces el momento clave: elegir la contraseña maestra. Esta será la llave que abrirá todas las demás contraseñas, así que conviene pararse un poco. Debe ser larga, impredecible y a la vez razonablemente memorizable. Puedes combinar varias palabras aleatorias, añadir números y símbolos, o usar una frase que solo tenga sentido para ti. Si alguien adivina o roba esta contraseña, tendrá acceso a toda tu bóveda.
Una vez elegidos los factores de protección, KeePassXC te pedirá que guardes el archivo .kdbx en el lugar seleccionado. Ese archivo será el que tengas que abrir en cualquier equipo o móvil donde quieras acceder a tus contraseñas. A partir de este momento, tu base de datos está creada y lista para recibir entradas.
Organizar la bóveda: grupos, subgrupos y múltiples bases de datos
Con la base de datos vacía ya creada, toca empezar a pensar en cómo vas a organizar tus credenciales. KeePassXC utiliza un sistema jerárquico de grupos y subgrupos que funcionan como carpetas dentro de la bóveda: en cada grupo se alojan las diferentes entradas (usuarios y contraseñas).
Puedes, por ejemplo, crear grupos como «Banca», «Trabajo», «Redes sociales», «Compras online» o «Sistemas» y añadir subgrupos dentro de cada uno si necesitas más granularidad. La creación se hace desde el menú de Grupos o con el botón correspondiente en la interfaz, y en la ventana de edición de grupo puedes asignar nombre, una descripción y un icono distintivo para localizarlo de un vistazo.
Aunque es perfectamente posible guardar todas las entradas directamente en la raíz de la base de datos, a medio plazo esto se vuelve inmanejable. Invertir cinco minutos en diseñar una estructura de grupos clara te ahorrará muchos clics cuando la bóveda crezca. Además, nada te impide reorganizar posteriormente las contraseñas arrastrando entradas de un grupo a otro.
Si quieres ir un paso más allá en la compartimentación, puedes crear varias bases de datos independientes en lugar de concentrarlo todo en una sola. Cada base de datos se guarda en un archivo .kdbx distinto y puede tener su propia contraseña maestra y sus propias reglas. Por ejemplo, podrías tener una bóveda personal y otra separada para asuntos laborales con una clave distinta, o una base exclusiva para cuentas críticas como banca y correo principal.
Desde la ventana principal de KeePassXC se pueden tener varias bases abiertas en pestañas. Esto da mucha flexibilidad a la hora de separar entornos sin renunciar a la comodidad, siempre y cuando seas disciplinado con las claves maestras y las copias de seguridad de cada archivo.
Añadir entradas: usuarios, contraseñas, notas y adjuntos
Con la estructura creada, el siguiente paso es empezar a guardar datos reales. Para añadir una nueva entrada selecciona primero el grupo adecuado y usa la opción “Nueva entrada” desde el menú o desde la barra de herramientas. Se abrirá una ventana con varios campos básicos.
En la pestaña principal puedes indicar el título (por ejemplo, “Gmail personal”), el nombre de usuario, la contraseña y la URL de inicio de sesión. El campo de contraseña está integrado con el generador de claves de KeePassXC: haciendo clic en el icono del dado podrás definir la longitud y el tipo de caracteres, permitiendo crear contraseñas muy complejas con un par de clics.
También puedes establecer fechas de caducidad si quieres que la aplicación te recuerde que debes cambiar esa contraseña pasado cierto tiempo. Es una buena manera de imponer un ciclo de renovación para cuentas críticas, como acceso al banco o a paneles de administración.
En las pestañas avanzadas de la entrada encontrarás opciones para adjuntar archivos (por ejemplo, copias cifradas de documentos, códigos de recuperación, contratos, etc.) o crear atributos personalizados. Ten presente que cada archivo adjunto aumenta el tamaño de la base de datos, así que conviene usarlos con cabeza y no convertir la bóveda en un almacén de documentos pesados.
Por último, puedes asignar iconos específicos, etiquetas (tags) y decidir si la entrada será accesible desde las extensiones de navegador. Todo esto permite tener mucha información contextual sin renunciar a una vista limpia en la ventana principal, donde verás un listado con los títulos, usuarios y otras columnas que puedes personalizar.
Integrar KeePassXC con el navegador para autocompletar
Para la mayoría de usuarios, el auténtico cambio de juego llega al integrar la bóveda con el navegador. De esta forma, no tendrás que copiar y pegar usuarios y contraseñas a mano cada vez que inicies sesión, sino que se ofrecerá el autocompletado directamente en la página web.
El proceso tiene dos patas: la configuración en KeePassXC y la instalación de la extensión correspondiente en tu navegador (KeePassXC‑Browser). En la aplicación de escritorio debes ir a Herramientas > Configuración > Integración del navegador y marcar los navegadores que quieras habilitar (Chrome, Firefox, Edge, etc.).
Después, en el propio navegador, instala la extensión desde su tienda oficial (Chrome Web Store, Mozilla Add‑ons, etc.). Una vez instalada, fíjala en la barra de herramientas si quieres tenerla siempre a la vista y haz clic en el icono para iniciar el vínculo con KeePassXC. Normalmente verás un botón de «Conectar» o similar.
En la primera conexión la extensión te pedirá que asignes un nombre a la asociación con la base de datos, y KeePassXC mostrará en su ventana un diálogo pidiéndote permiso para establecer esa comunicación. Es recomendable autorizar la conexión y marcar la opción para recordar la decisión, evitando así tener que aprobarla cada vez.
A partir de ese momento, siempre que KeePassXC esté abierto y la base de datos desbloqueada, la extensión será capaz de detectar formularios de inicio de sesión y sugerir las entradas correspondientes. La primera vez que intentes autocompletar un sitio, KeePassXC puede mostrar un mensaje pidiéndote que confirmes qué entradas pueden asociarse a ese dominio. Si marcas que recuerde la elección, el proceso será completamente fluido en futuras visitas.
Usar KeePassXC en el día a día: desbloqueo, portapapeles y atajos
En el uso cotidiano, KeePassXC se reduce a unos pocos gestos habituales. Al arrancar el ordenador, abres la aplicación, seleccionas la base de datos y introduces la contraseña maestra (y los factores adicionales, si los has configurado). A partir de ahí, la bóveda queda desbloqueada y accesible para tus consultas y para la extensión del navegador.
Desde la ventana principal, la forma más rápida de trabajar es hacer doble clic sobre cada campo que necesitas. Si haces doble clic sobre la URL, se abrirá directamente la web en tu navegador predeterminado. Si lo haces sobre el nombre de usuario o sobre la contraseña, ese dato se copia al portapapeles durante unos segundos, tras los cuales se borra automáticamente para reducir el riesgo de filtrado.
Esto te permite iniciar sesión en servicios que no usas desde el navegador principal, o rellenar credenciales en aplicaciones de escritorio que no están integradas con la extensión. El comportamiento del portapapeles es configurable, pudiendo ajustar el tiempo antes de que se borre el contenido copiado si necesitas más margen o prefieres que dure lo mínimo posible.
En cuanto al bloqueo, puedes hacerlo manualmente desde el menú de Base de datos o configurar un bloqueo automático tras cierto periodo de inactividad. También se puede ajustar que la base de datos se bloquee al minimizar la aplicación o al bloquear la sesión de usuario del sistema operativo. Son medidas sencillas que añaden una capa más de protección frente a miradas indiscretas.
Sincronizar la base de datos con el móvil y entre varios usuarios
Hasta ahora hemos visto un uso puramente local en un único ordenador, pero casi todo el mundo necesita acceder a sus contraseñas desde el móvil o compartir una bóveda entre varias personas en un contexto profesional. Aunque KeePassXC no incorpora sincronización propia, es compatible con multitud de soluciones externas.
En Android puedes utilizar aplicaciones como KeePassDX, y en iOS hay alternativas muy pulidas como Strongbox o KeePassium. Todas ellas son capaces de abrir archivos .kdbx y suelen integrarse con el autocompletado nativo del sistema. La clave está en que la app móvil pueda acceder al mismo archivo de base de datos que usas en el ordenador, ya sea a través de una nube o de un servidor propio.
Para un uso personal, suele bastar con colocar el archivo .kdbx en Google Drive, Dropbox, iCloud, Nextcloud o un NAS que se integre con la app Archivos de tu teléfono. Desde el móvil simplemente apuntas la app KeePass compatible a esa ubicación y listo: cuando se sincroniza el archivo, tendrás siempre la versión más reciente de tu bóveda.
En entornos corporativos es habitual usar servicios como OneDrive, SharePoint o Google Drive en Workspace para compartir el mismo .kdbx entre distintas personas. Si el nivel de exigencia en privacidad es máximo, existen soluciones como Resilio Sync o Syncthing, que sincronizan archivos directamente entre equipos mediante conexiones P2P cifradas, sin pasar por servidores centrales.
En todos los casos, no hay que olvidar que la base de datos permanece cifrada incluso mientras se mueve por Internet. Quien intercepte el archivo sin conocer la contraseña maestra (y sin disponer de los factores extras) no podrá leer su contenido. Eso sí, si compartes la bóveda con otras personas, la clave maestra debe comunicarse siempre por un canal distinto y seguro, y conviene revisar periódicamente quién tiene acceso.
Seguridad avanzada: archivos llave, YubiKey, Nitrokey y política de backups
Además de la clásica contraseña maestra, KeePassXC permite reforzar la seguridad combinando varios factores. Puedes añadir un archivo llave, una YubiKey, una Nitrokey 3 configurada en modo Challenge‑Response u otros dispositivos compatibles. En la práctica esto convierte el desbloqueo en una autenticación multifactor muy robusta.
Si ya tienes una base de datos creada y quieres protegerla con una Nitrokey 3, por ejemplo, debes abrir la bóveda y acceder a la configuración de seguridad de la base de datos. Desde ahí, en la sección de credenciales de la base, puedes agregar una “protección adicional” y seleccionar el método Challenge‑Response. Si la Nitrokey está conectada y ya habías generado el secreto HMAC en el dispositivo, aparecerá como opción para enlazarla con la base de datos.
Si prefieres crear una nueva base directamente protegida con Nitrokey, el procedimiento es similar: al definir las credenciales de la base, añades la protección adicional con Challenge‑Response, seleccionas la llave y, opcionalmente, defines también una contraseña maestra tradicional. Así, aunque alguien copie el archivo .kdbx y conozca la contraseña, seguirá necesitando tener físicamente la Nitrokey para poder desbloquearlo.
Tan importante como proteger el acceso es diseñar una política sensata de copias de seguridad. El archivo .kdbx es un punto único de fallo: si se corrompe o se pierde y no tienes copia, lo has perdido todo. Lo mínimo razonable es mantener una copia en otro disco o dispositivo físico distinto, y si te preocupa un posible robo o incendio, conservar copias en ubicaciones físicas diferentes (por ejemplo, en otra casa o en una caja fuerte externa).
Con todo lo anterior, KeePassXC se consolida como un gestor de contraseñas extremadamente sólido para quien valore su privacidad y esté dispuesto a asumir una mínima responsabilidad en la gestión de claves y copias de seguridad; bien configurado, con una contraseña maestra robusta, buena política de backups, integración con navegador y, si procede, llaves físicas como YubiKey o Nitrokey, ofrece un nivel de control y protección que lo hace especialmente recomendable para usuarios avanzados y empresas que no quieren depender de servicios en la nube.
