Si estás harto de recordar contraseñas imposibles o de reutilizar siempre las mismas por pura pereza, probablemente ya te hayas planteado usar un gestor de contraseñas. Entre todas las opciones, KeePassXC se ha ganado una fama brutal como alternativa de código abierto, multiplataforma y centrada en la privacidad, perfecta para quienes quieren tener el control total de sus datos sin depender de servicios en la nube.
A lo largo de este artículo vamos a ver con calma qué es exactamente KeePassXC, en qué se diferencia de otros gestores, cómo instalarlo en los principales sistemas, cómo crear y organizar tus bases de datos, qué medidas de seguridad adicionales puedes aplicar y cómo integrarlo en tu día a día, incluyendo su uso como gestor TOTP para códigos de segundo factor. La idea es que termines con una visión completa y práctica, sin quedarte con dudas ni flecos sueltos.
KeePassXC: qué es y por qué tanta gente lo recomienda
KeePassXC es un gestor de contraseñas gratuito, local y de código abierto que te permite guardar credenciales, notas seguras y otros datos sensibles en una base de datos cifrada que resides en tu propio equipo (o donde tú decidas almacenarla). No depende de servidores de terceros: tú eliges la ubicación del archivo y el esquema de copias de seguridad.
La base de datos se protege con una contraseña maestra robusta, que puedes complementar con un archivo llave o incluso con una llave física (como una YubiKey, según configuración). Gracias al uso de algoritmos de cifrado modernos, como AES‑256, atacar esa base de datos por fuerza bruta es, en la práctica, inviable si la contraseña maestra está bien elegida.
Otra de sus grandes bazas es que funciona en Windows, macOS y Linux con la misma interfaz, de modo que si cambias de sistema operativo no tienes que reinventar la rueda. Abres tu fichero .kdbx en cualquier máquina con KeePassXC y sigues trabajando como si nada, sin perder datos ni funcionalidades.
Principales características de KeePassXC
Además del mero almacenamiento de contraseñas, KeePassXC incorpora un buen puñado de funciones avanzadas que lo convierten en una alternativa real a gestores comerciales y a otros clientes derivados de KeePass.
- Gestión segura de contraseñas y notas: puedes guardar credenciales de inicio de sesión, notas confidenciales, URLs, etiquetas y más, todo en una estructura de grupos y subgrupos muy flexible.
- Generador de contraseñas y frases de paso: incluye un generador configurable (longitud, tipos de caracteres, símbolos, etc.), y un generador de passphrases con presets como el modo MIXED case introducido en versiones recientes.
- Cifrado fuerte con AES‑256: la base de datos se cifra con algoritmos modernos y bien auditados, y puedes reforzar el esquema de desbloqueo añadiendo archivos llave.
- Soporte para doble autenticación: permite gestionar códigos TOTP (one‑time passwords) integrados en las propias entradas, de forma que KeePassXC se convierte también en generador de códigos MFA.
- Importación y exportación desde otros gestores: puedes migrar desde KeePass 1.x, archivos CSV y otros gestores, e incluso desde servicios como Proton Pass a través de importadores específicos.
En versiones recientes, como la 2.7.10, se han añadido mejoras como un importador directo de Proton Pass, un contador de caracteres en el generador de contraseñas, nuevos iconos para la columna de fuerza de contraseña, botones adicionales en la barra de herramientas para acceder rápido a los ajustes de base de datos y estadísticas, y un parámetro de línea de comandos para arrancar la aplicación minimizada.
KeePass vs KeePassXC: diferencias reales en el día a día
Mucha gente se pregunta si es mejor quedarse con KeePass “clásico” o dar el salto a KeePassXC. Aunque ambos utilizan el mismo formato de base de datos .kdbx, la experiencia de uso cambia bastante, sobre todo en sistemas modernos como Windows 11 o en entornos multiplataforma.
La versión tradicional de KeePass, centrada en Windows, se ve y se siente como una aplicación muy típica del ecosistema Windows. Es ligera, escrita sobre .NET, con un ecosistema enorme de plugins que te permiten extenderla casi hasta el infinito: integraciones especiales, funciones muy específicas, automatizaciones, etc. Eso sí, para muchas tareas dependes precisamente de esos complementos.
Por el contrario, KeePassXC apuesta por una interfaz más moderna y unificada, nada anclada en el diseño de hace más de una década. Está desarrollada en Qt, con soporte para temas oscuros, menús claros y accesibles y una experiencia coherente en todos los sistemas. Para usuarios de Windows 11, macOS o escritorios Linux actuales, la sensación general es más pulida y actual.
En cuanto a recursos, algunos usuarios comentan que KeePassXC puede ser un pelín más pesado que KeePass clásico, pero en equipos actuales esa diferencia apenas se aprecia. A cambio, obtienes características integradas como el agente SSH, gestión de TOTP y una integración nativa con navegadores que funciona muy bien sin depender de capas de plugins adicionales.
Un detalle importante es que KeePassXC renuncia deliberadamente al sistema de plugins y a los triggers (gatillos) que sí mantiene KeePass 2.x. Esto ha sido objeto de debate en la comunidad, especialmente tras la publicación de la vulnerabilidad CVE‑2023‑24055 en KeePass, que explota precisamente la configuración de triggers para exportar contraseñas en texto plano si un atacante consigue modificar el archivo de configuración. En KeePassXC ese vector concreto no existe, porque ni hay sistema de gatillos ni soporte para plugins externos.
En resumen práctico, si trabajas principalmente en Windows y dependes sí o sí de plugins muy concretos de KeePass, probablemente quieras seguir con el cliente clásico. Pero si buscas una experiencia moderna, multiplataforma, con navegador integrado y desarrollo muy activo, KeePassXC suele ser la elección más cómoda, especialmente en Windows 11 o en entornos mixtos con Linux y macOS.
Instalar KeePassXC en Windows, macOS y Linux
La instalación de KeePassXC es bastante directa en cualquier sistema, pero conviene tener claras las opciones para elegir la versión que más te interese en cada caso, sobre todo si priorizas estabilidad o prefieres ir siempre a la última.
Instalación en Windows
En Windows puedes descargar KeePassXC directamente desde su web oficial, donde encontrarás instaladores tradicionales para versiones modernas del sistema, así como instaladores “legacy” pensados para Windows 7 y 8.x en caso de que todavía trabajes con ellos.
Además del instalador clásico, KeePassXC se distribuye también a través de la Microsoft Store y de gestores de paquetes como Chocolatey o Winget. Esto facilita mucho mantener el programa actualizado, ya que las nuevas versiones se pueden instalar con un solo comando o se actualizan de forma más automatizada.
Al iniciar KeePassXC en Windows por primera vez, notarás ciertos detalles de seguridad adicionales, como que puede requerir la contraseña o PIN del perfil de Windows antes de abrir una base de datos, añadiendo así una capa extra de protección en entornos compartidos o de empresa.
Instalación en macOS
En macOS, la forma más limpia suele ser descargar el paquete oficial DMG o PKG desde la web del proyecto y seguir el asistente de instalación estándar. También existen paquetes en gestores como Homebrew, que permiten instalar y actualizar KeePassXC con un simple comando desde la terminal.
La integración visual en macOS es bastante cuidada, y la interfaz Qt con modo oscuro y atajos de teclado consistentes hace que el uso diario sea cómodo para usuarios acostumbrados al ecosistema de Apple.
Instalación en Linux
En Linux tienes varias opciones, según distribución y preferencias. La más habitual es instalar la versión de los repositorios oficiales (por ejemplo, en Ubuntu con el clásico apt install keepassxc). Es un método muy estable, pero la versión que ofrece la distro suele ir una o varias revisiones por detrás de la última publicada por el proyecto y, muchas veces, no se actualiza durante el ciclo de vida de la distribución.
Si quieres disponer casi siempre de la versión más reciente de KeePassXC, puedes optar por el paquete Snap distribuido a través de la Snap Store. Se instala con un simple comando (sudo snap install keepassxc, por ejemplo) y, en la práctica, se mantiene en línea con las últimas versiones que lanza el equipo de desarrollo.
A nivel de uso, ambos métodos son válidos y funcionalmente muy parecidos. Algunos usuarios de GNOME comentan que la versión instalada desde repositorios se integra algo mejor estéticamente que el paquete Snap, aunque, al estar desarrollada en Qt, la integración perfecta suele darse sobre todo en escritorios como KDE Plasma. En cualquier caso, las diferencias son cosméticas, y la aplicación funciona igual.
Primeros pasos: crear tu base de datos de contraseñas
Una vez instalado el programa, el primer inicio de KeePassXC te muestra una pantalla muy directa en la que puedes crear una nueva base de datos, abrir una existente o importar datos. La opción adecuada depende de si vienes de otro gestor o empiezas desde cero.
Crear una base de datos nueva
Si nunca has usado un gestor de contraseñas o quieres arrancar de cero, la opción lógica es crear una base de datos nueva totalmente vacía. KeePassXC te mostrará un diálogo para elegir el nombre del archivo y la ubicación donde se guardará, normalmente con extensión .kdbx.
En este punto es cuando debes definir el método de desbloqueo: la clásica contraseña maestra, un archivo llave o ambas cosas a la vez. Lo habitual es usar solo contraseña maestra, pero si quieres añadir seguridad adicional puedes complementar con un archivo llave que tengas almacenado en un USB, por ejemplo.
Es vital que la contraseña maestra sea larga y compleja, ya que de ella depende la seguridad de todas tus demás credenciales. A partir de ese momento, la idea es que dejes de preocuparte por memorizar el resto de contraseñas; el gestor se encarga de generarlas y custodiaras.
Abrir una base de datos existente
Si ya utilizabas KeePassXC, KeePass 2.x en Windows o tienes un archivo .kdbx procedente de otro equipo, la opción adecuada es abrir una base de datos existente y señalar el fichero correspondiente. KeePassXC recordará las ubicaciones usadas con más frecuencia, de forma que no tengas que navegar cada vez por todo el sistema de archivos.
Esta opción es especialmente útil si trabajas con la misma base de datos en varios dispositivos (por ejemplo, sincronizada manualmente o mediante un servicio de almacenamiento en la nube cifrada) y solo necesitas ir abriéndola en cada máquina donde tengas KeePassXC instalado.
Importar desde KeePass 1.x o desde CSV
Para quienes vienen de versiones antiguas de KeePass 1.x o de otros gestores que exportan las credenciales en CSV, KeePassXC ofrece asistentes de importación específicos. La opción “Importar de KeePass 1” se encarga de convertir el antiguo formato de base de datos al estándar actual .kdbx.
La importación desde CSV está pensada para casos en los que tus contraseñas residen en otros programas o incluso contraseñas guardadas del navegador o en cuentas de Google. Normalmente exportas allí a un CSV y luego, desde KeePassXC, lo conviertes en una base de datos cifrada bien organizada.
Organización interna: grupos, subgrupos y múltiples bases
Una vez creada la base de datos y configurado el método de desbloqueo, la interfaz principal de KeePassXC muestra una estructura muy clara: barra de menús superior, cinta de acciones rápidas y, debajo, la vista dividida con grupos a la izquierda y entradas a la derecha.
Crear grupos y subgrupos
Aunque podrías empezar a tirar todas las entradas directamente en la raíz de la base de datos, es mucho más práctico crear grupos temáticos para clasificar tus contraseñas. Por ejemplo, puedes separar cuentas personales, de trabajo, bancarias, redes sociales, servicios de desarrollo, etc.
Desde el menú “Grupos” puedes añadir un nuevo grupo, asignarle un nombre descriptivo, una nota opcional y, si quieres, un icono característico que te ayude a identificarlo de un vistazo. KeePassXC te permite anidar grupos dentro de otros, creando así subgrupos para afinar más la organización.
Esta estructura jerárquica se ve reflejada en el panel izquierdo de la ventana principal. Puedes crear tantos grupos y subgrupos como te apetezca, y reorganizarlos según cambien tus necesidades. Es muy útil para mantener ordenada una base de datos con decenas o cientos de entradas.
Añadir nuevas entradas
Cuando ya tienes claro cómo quieres organizarte, llega el momento de añadir las entradas de tus cuentas y servicios. Para ello, selecciona el grupo correspondiente y usa el menú “Entradas” o el botón específico de la barra de herramientas para crear una nueva entrada.
En el formulario de edición deberás introducir, como mínimo, un título para identificar la cuenta, el nombre de usuario y la contraseña. También puedes añadir la URL de inicio de sesión para abrirla rápidamente desde KeePassXC y fijar una fecha de caducidad de la contraseña si quieres imponerte una política de cambio periódico.
Para generar la contraseña, tienes a tu disposición el generador integrado con icono de dado, donde puedes decidir longitud, uso de mayúsculas, minúsculas, números, símbolos o incluso activar ajustes como ASCII extendido (aunque esto último suele dar problemas en algunos servicios que no aceptan ciertos caracteres).
Lo recomendable es que dejes que KeePassXC genere contraseñas largas y aleatorias para todas tus cuentas, y tú solo recuerdes la contraseña maestra. De esta forma evitas la reutilización de contraseñas y reduces mucho el impacto de una filtración puntual.
Crear bases de datos adicionales
Si quieres ir un paso más allá en la compartimentación, además de los grupos puedes manejar varias bases de datos independientes. Por ejemplo, una base para el ámbito personal, otra para el laboral y otra para proyectos muy sensibles.
Desde el menú de “Base de datos” puedes crear una nueva y se abrirá en una pestaña separada dentro de la propia ventana de KeePassXC. Cada base de datos puede tener su propia contraseña maestra y esquema de seguridad, y trabajarás con ellas de forma totalmente independiente, aunque en la misma sesión de la aplicación.
Política de seguridad y copias de seguridad de tu fichero .kdbx
Una vez que has llenado tu base con todas tus contraseñas, llega un punto crítico que muchas veces se pasa por alto: dónde guardas el fichero cifrado y cómo haces copias de seguridad. Aquí hay que equilibrar dos riesgos: perder el acceso al archivo o que caiga en manos equivocadas.
Por un lado, está la posibilidad de fallos en el disco, borrados accidentales o corrupción de datos. Para minimizar ese riesgo, conviene mantener, al menos, una copia del fichero .kdbx en otra ubicación física: un disco externo, otro ordenador, un NAS, etc. Una sola copia en un único disco es jugar con fuego.
Si añadimos escenarios más extremos, como robo o incendios en el domicilio, cobra sentido tener alguna copia en un lugar físico diferente o en un servicio de almacenamiento en la nube. Mucha gente opta por guardar el fichero cifrado en Google Drive, Dropbox, iCloud u otros servicios de sincronización, confiando en que el cifrado de KeePassXC y una contraseña maestra sólida sean suficientes para evitar accesos no autorizados.
En paralelo, siempre existe la preocupación de que la base de datos llegue a manos de terceros. Por eso es esencial no descuidar la robustez de la contraseña maestra y, en la medida de lo posible, mantener las copias en ubicaciones a las que no tenga acceso cualquier persona. Incluso, si quieres rizar el rizo, puedes mantener algún soporte de copia que ni siquiera esté conectado a Internet de forma habitual.
Uso diario: desbloquear, bloquear y copiar contraseñas
En el día a día, utilizar KeePassXC es bastante directo. Primero debes desbloquear la base de datos con tu contraseña maestra, ya sea abriendo el archivo desde el explorador de archivos o desde el propio menú de la aplicación, que recuerda las rutas usadas recientemente.
Una vez desbloqueada, verás tus grupos y entradas tal y como los organizaste. Desde ahí puedes editar registros, crear nuevos, moverlos de grupo, cambiar contraseñas y, en general, gestionar tus credenciales sin complicarte demasiado con opciones avanzadas si no quieres.
Para usar una contraseña en una página web o aplicación, la forma más práctica es hacer doble clic sobre el campo correspondiente de la entrada. Un doble clic en la URL abrirá el sitio en tu navegador por defecto; un doble clic sobre el usuario o la contraseña los copiará al portapapeles, listos para pegar en el formulario de inicio de sesión.
Recuerda que el portapapeles no es un lugar especialmente seguro, por lo que conviene seguir prácticas de seguridad y no dejar las credenciales mucho tiempo copiadas. KeePassXC incluye opciones para limpiar automáticamente el portapapeles después de un breve intervalo, reduciendo el riesgo de que otro programa o usuario pueda acceder a esos datos.
Integración con navegadores y protección adicional
Una de las razones por las que mucha gente se inclina por KeePassXC frente a otros clientes es su integración nativa con navegadores web mediante extensiones oficiales. Solo tienes que instalar la extensión correspondiente en Chrome, Firefox, Edge u otros navegadores compatibles, vincularla con KeePassXC y, a partir de ahí, podrás completar formularios de inicio de sesión de forma mucho más fluida.
Esta integración no requiere los clásicos plugins de terceros de la época de KeePass, sino que forma parte del diseño moderno del proyecto. La comunicación entre el navegador y KeePassXC se realiza de forma cifrada y autenticada, y puedes controlar en todo momento qué sitios pueden solicitar credenciales.
Otro detalle curioso es que KeePassXC, por defecto, bloquea la captura de pantalla de su ventana en algunos sistemas para evitar que un atacante con acceso local pueda obtener imágenes de tus datos sensibles. Si necesitas hacer capturas para documentación, presentaciones o tutoriales, puedes lanzar KeePassXC con un modificador como –allow-screencapture en la línea de comandos o en el acceso directo.
Uso de KeePassXC como generador de códigos TOTP
Además de gestionar contraseñas tradicionales, KeePassXC puede funcionar como generador de códigos TOTP (Time-based One-Time Password), lo que te permite centralizar también los códigos de segundo factor de muchos servicios.
El flujo básico es sencillo: creas o editas una entrada correspondiente a un servicio que requiera 2FA y, en el menú contextual, usas la opción de configurar TOTP. Allí verás un campo donde debes pegar la clave secreta que el servicio te proporciona normalmente cuando activas la autenticación multifactor.
Una vez configurada la clave secreta, KeePassXC generará automáticamente códigos temporales de 6 dígitos, que cambian cada 30 segundos, tal y como hacen las aplicaciones de autenticación habituales. Cuando un servicio te pida el código de segundo factor, abres KeePassXC, haces clic derecho sobre la entrada y eliges “Mostrar TOTP” (o la opción equivalente), copias el código y lo introduces donde corresponda.
Este enfoque es muy cómodo porque tienes credenciales y códigos de segundo factor centralizados en la misma herramienta, pero también implica que esa base de datos se convierte en un activo aún más crítico. Por ello cobra mayor importancia cuidar la contraseña maestra, el esquema de copias de seguridad y, si es posible, combinarlo con factores adicionales como archivos llave o dispositivos físicos.
KeePassXC se presenta como una solución muy completa para gestionar contraseñas y códigos TOTP, con una combinación de seguridad, transparencia (al ser de código abierto), funciones prácticas y una interfaz moderna que encaja muy bien en entornos actuales; si valoras la privacidad, el control local de tus datos y una integración cómoda con tus sistemas y navegadores, es una de esas herramientas que, una vez la adoptas, cuesta mucho abandonar. Comparte la guía y más personas conocerán sobre este importante tema.