Como desplegar un gestor de contrasenas en tu propio servidor
Gestionar contrasenas de forma segura es uno de los desafios mas criticos que enfrentan las empresas modernas. Las soluciones en la nube introducen riesgos de terceros, mientras que las hojas de calculo y los documentos compartidos son un desastre de seguridad esperando ocurrir. La respuesta? Desplegar un gestor de contrasenas autoalojado en una infraestructura que controles completamente. En esta guia, te acompanamos a traves de todo el proceso — desde los requisitos del servidor hasta la incorporacion del equipo — y explicamos por que InPassTo hace que el despliegue autoalojado sea sencillo.
Por que alojar tu propio gestor de contrasenas?
Cuando tu organizacion almacena credenciales en la nube de un tercero, estas confiando a ese proveedor las llaves de todo tu reino digital. Las brechas de datos en importantes proveedores de gestores de contrasenas han sido noticia repetidamente, exponiendo millones de bovedas cifradas. El autoalojamiento elimina este punto unico de fallo al mantener todos los datos en servidores que tu posees y operas.
El cumplimiento normativo es otro motivo poderoso. Regulaciones como el RGPD, HIPAA y SOC 2 frecuentemente requieren que las organizaciones demuestren exactamente donde residen los datos sensibles y quien tiene acceso a ellos. Con una solucion autoalojada, puedes senalar a los auditores tu propio centro de datos o instancia de nube privada, proporcionando evidencia clara de soberania de datos y controles de acceso.
El autoalojamiento tambien te otorga control total sobre los calendarios de actualizacion, las estrategias de respaldo y la arquitectura de red. Tu decides cuando se aplican los parches, como se cifran y rotan las copias de seguridad, y si el servicio es accesible solo a traves de una VPN o red interna. Este nivel de control es imposible con ofertas SaaS que operan en infraestructura compartida. Para empresas que manejan datos financieros, registros medicos o contratos gubernamentales, el autoalojamiento no es solo una preferencia — es un requisito. InPassTo fue construido desde cero para exactamente este modelo de despliegue.
Requisitos del servidor
Antes de desplegar InPassTo, asegurate de que tu servidor cumple con las siguientes especificaciones minimas. Estos requisitos estan disenados para soportar equipos de hasta 50 usuarios con margenes de rendimiento confortables. Para organizaciones mas grandes, recomendamos escalar los recursos proporcionalmente o contactar a nuestro equipo para una recomendacion de arquitectura personalizada.
# Requisitos minimos del servidor
Sistema operativo : Ubuntu 22.04 LTS / Debian 12+
PHP : 8.2 o superior (extensiones: pgsql, redis, mbstring, openssl, curl)
Base de datos : PostgreSQL 15+ (recomendado) o MySQL 8.0+
Cache / Colas : Redis 7+
Servidor web : Nginx 1.24+ (con soporte SSL/TLS)
RAM : 2 GB minimo (4 GB recomendado)
Almacenamiento : 20 GB SSD minimo
CPU : 2 nucleos vCPU minimo
Red : Direccion IP estatica, puertos 80/443 abiertos
Certificado SSL : Let's Encrypt (gratuito) o certificado comercialRecomendamos encarecidamente usar Ubuntu 22.04 LTS como sistema operativo, ya que proporciona actualizaciones de seguridad a largo plazo y excelente compatibilidad con el resto del stack. PostgreSQL se prefiere sobre MySQL por sus capacidades superiores de cifrado, robusto soporte JSON y funciones avanzadas de indexacion que InPassTo aprovecha para el almacenamiento de bovedas. Redis maneja la gestion de sesiones, el procesamiento de colas y el almacenamiento en cache, asegurando tiempos de respuesta rapidos incluso bajo carga pesada. Tu servidor debe estar provisto con una direccion IP estatica y un nombre de dominio apuntando a el, ya que esto es necesario para la emision de certificados SSL y el acceso seguro HTTPS.
Guia de despliegue paso a paso
El despliegue de InPassTo sigue un proceso estructurado que asegura que cada componente este correctamente configurado y protegido. Aunque el equipo de InPassTo puede encargarse de todo el despliegue por ti, aqui tienes una vision general de lo que implica el proceso para que entiendas cada etapa.
1. Preparacion del servidor. El servidor objetivo se fortalece deshabilitando el acceso SSH como root, configurando un firewall (UFW o iptables), habilitando actualizaciones automaticas de seguridad y creando un usuario de sistema dedicado para la aplicacion. Todos los servicios innecesarios se deshabilitan para minimizar la superficie de ataque.
2. Instalacion del stack de software. PHP 8.2 con todas las extensiones requeridas se instala y optimiza para cargas de trabajo de produccion. PostgreSQL se configura con agrupacion de conexiones y configuraciones de memoria optimizadas. Redis se configura con autenticacion por contrasena y se vincula a localhost. Nginx se instala y configura como proxy inverso con soporte HTTP/2.
3. Despliegue de la aplicacion. La base de codigo de InPassTo se despliega en el servidor, se configuran las variables de entorno, se ejecutan las migraciones de base de datos y se generan las claves de cifrado. El worker de colas y el programador de la aplicacion se configuran como servicios systemd para garantizar la fiabilidad.
4. Configuracion de SSL y DNS. Se emite un certificado Let's Encrypt usando Certbot con renovacion automatica configurada. Se verifican los registros DNS y se habilitan las cabeceras HSTS para forzar conexiones cifradas. Opcional: se puede configurar Cloudflare u otra CDN para proteccion contra DDoS.
5. Verificacion y pruebas. Todo el despliegue se prueba de extremo a extremo, incluyendo flujos de inicio de sesion, cifrado de bovedas, comparticion de equipos y acceso API. Se ejecutan pruebas de rendimiento para confirmar que el servidor cumple con los objetivos de tiempo de respuesta.
No quieres encargarte del despliegue tu mismo?
El equipo de InPassTo proporciona despliegue completamente gestionado. Configuramos tu servidor, instalamos todo y te entregamos un gestor de contrasenas listo para usar.
Solicitar presupuesto →Configuracion de seguridad: cifrado y 2FA
La seguridad es la base de cualquier gestor de contrasenas, e InPassTo implementa multiples capas de proteccion para asegurar que tus credenciales permanezcan a salvo incluso en caso de una brecha del servidor. La arquitectura de cifrado utiliza AES-256-GCM, el mismo estandar empleado por gobiernos e instituciones financieras en todo el mundo, para cifrar cada entrada de la boveda a nivel de aplicacion antes de que llegue a la base de datos.
La boveda de cada usuario se cifra con una clave unica derivada de su contrasena maestra usando Argon2id, un algoritmo de hash de alta demanda de memoria disenado especificamente para resistir ataques de fuerza bruta basados en GPU. El servidor nunca almacena la contrasena maestra ni la clave de cifrado derivada — el descifrado ocurre solo en la sesion del usuario. Esto significa que incluso si un atacante obtiene acceso a la base de datos, los datos cifrados son inutiles sin la contrasena maestra de cada usuario individual.
La autenticacion de dos factores agrega una segunda capa critica. InPassTo soporta 2FA basado en Telegram, que proporciona una experiencia fluida para equipos que ya usan Telegram para comunicarse. Cuando un usuario inicia sesion, se envia un codigo de un solo uso a su cuenta de Telegram a traves de un bot seguro. Esto elimina la necesidad de aplicaciones de autenticacion de terceros y simplifica la implementacion en toda la organizacion. La autenticacion basada en TOTP tambien es compatible para equipos que prefieren aplicaciones de autenticacion tradicionales. Forzar 2FA en todas las cuentas de usuario es un solo interruptor en el panel de administracion, dando a los administradores cumplimiento de seguridad inmediato sin tener que perseguir a cada miembro del equipo.
Incorporacion del equipo y extension de Chrome
Una vez que InPassTo esta desplegado y asegurado, el siguiente paso es incorporar a tu equipo. El panel de administracion proporciona una interfaz sencilla para crear cuentas de usuario y asignar roles. InPassTo soporta control de acceso granular basado en roles: los administradores tienen acceso completo al sistema, los gerentes pueden crear bovedas compartidas y gestionar sus equipos, y los usuarios regulares pueden acceder solo a las bovedas asignadas a ellos.
Las bovedas compartidas son una de las funciones mas poderosas para equipos. Puedes crear bovedas especificas por proyecto o departamento — por ejemplo, una boveda de "Servidores de produccion" accesible solo para el equipo de DevOps, o una boveda de "Cuentas de redes sociales" para el departamento de marketing. Los permisos se establecen a nivel de boveda, y los registros de auditoria rastrean cada evento de acceso para fines de cumplimiento.
La extension de InPassTo para Chrome se integra directamente con tu instancia autoalojada. Despues de instalar la extension desde Chrome Web Store, los usuarios simplemente ingresan la URL de tu servidor InPassTo e inician sesion. La extension completa automaticamente las credenciales en sitios web reconocidos, genera contrasenas seguras para cuentas nuevas y guarda nuevos inicios de sesion directamente en la boveda correspondiente. Para equipos de desarrollo, InPassTo tambien ofrece una API REST completa con autenticacion basada en tokens, permitiendo la integracion con pipelines CI/CD, scripts de despliegue y herramientas de automatizacion internas. La documentacion de la API se incluye con cada despliegue y es accesible directamente desde tu instancia.
Por que elegir InPassTo para despliegue autoalojado
Existen varios gestores de contrasenas autoalojados en el mercado, pero InPassTo esta disenado especificamente para empresas que necesitan una solucion lista para produccion sin la sobrecarga de gestionar software de codigo abierto. A diferencia de herramientas impulsadas por la comunidad que requieren que ensamblar componentes, configures el cifrado manualmente y soluciones problemas de compatibilidad, InPassTo ofrece una plataforma completamente integrada de nivel empresarial.
Cada licencia de InPassTo incluye soporte de despliegue gestionado. Esto significa que no necesitas un equipo de DevOps dedicado para empezar. Nuestros ingenieros configuraran tu servidor, instalaran y optimizaran todo el stack, configuraran SSL, estableceran las copias de seguridad y te entregaran un gestor de contrasenas completamente operativo. Tambien proporcionamos soporte continuo para actualizaciones, parches de seguridad y escalado a medida que tu equipo crece.
La paridad de funciones es otra ventaja clave. A diferencia de muchos competidores que bloquean funciones esenciales detras de niveles empresariales, cada plan de InPassTo incluye cifrado AES-256-GCM, 2FA por Telegram, bovedas compartidas, acceso basado en roles, la extension de Chrome, acceso a la API REST y registro de auditoria. Obtienes la plataforma completa independientemente del tamano de tu equipo. InPassTo esta construido con Laravel y Vue.js, utilizando tecnologias que estan bien documentadas, ampliamente soportadas y son faciles de auditar. Tus datos permanecen en tu servidor, cifrados con claves que solo tu equipo controla, y accesibles unicamente a traves de las interfaces que tu autorices.
Listo para desplegar tu propio gestor de contrasenas?
Solicita un presupuesto y el equipo de InPassTo se encargara de toda la configuracion por ti. No se necesita experiencia en DevOps.
Ver planes de precios →