Mejores gestores de contraseñas europeos 2026: 7 probados, sin acceso US
Siete gestores de contraseñas alojados en la UE, probados durante tres meses. Passkeys, conocimiento cero, sin CLOUD Act. Desde 0 €, premium desde 22 €/año. Precios verificados 2026-05.
Plan gratuito con contraseñas ilimitadas, alias de email, privacidad suiza
Probar Proton Pass →Totalmente auditable, auto-alojable, plan gratuito generoso
Probar Padloc →La AEPD lleva desde 2023 mirando con lupa las transferencias de datos a Estados Unidos. Después de Schrems II, el RGPD por sí solo dejó de bastar para alojar herramientas de credenciales en territorio estadounidense. Hace falta cláusulas tipo, evaluaciones de impacto y, dependiendo del sector, cifrado adicional del lado del cliente. El abogado de protección de datos sabe lo que cuesta cada una de esas piezas. La forma más barata de no tener que hacerlas es no usar proveedores estadounidenses.
Para un gestor de contraseñas eso pesa el doble. Dentro de la caja fuerte digital están los accesos al banco, al portal del SEPE, a Hacienda, a la mutua. Es exactamente el tipo de dato sobre el que la AEPD pide especial diligencia.
Siete proveedores con sede en la UE o Suiza cumplen los requisitos. Quedan fuera del alcance de la CLOUD Act, son conformes al RGPD sin acrobacias, y cuestan entre 0 € y 60 € al año. Precios y funciones revisados el 28/05/2026.
Resumen del ranking
| Puesto | Gestor | Mejor para | Precio |
|---|---|---|---|
| 1 |  🇨🇭Proton Pass | Privacidad máxima | Gratis / 24 €/año |
| 2 |  🇱🇹NordPass | Equilibrio de funciones | 22 €/año |
| 3 |  🇨🇭pCloud Pass | Usuarios de pCloud | 29 €/año |
| 4 |  🇩🇪Padloc | Fans del open source | Gratis / 35 €/año |
| 5 |  🇱🇺Passbolt | Equipos y self-hosting | Gratis / 49 €/año |
| 6 |  🇧🇪Hypervault | Cumplimiento empresarial | 36 €/año |
| 7 |  🇩🇪heylogin | Futuro sin contraseñas | 60 €/año |
Seguridad y RGPD
| Seguridad | 🇨🇭Proton Pass | 🇱🇹NordPass | 🇨🇭pCloud Pass | 🇩🇪Padloc | 🇱🇺Passbolt | 🇧🇪Hypervault | 🇩🇪heylogin |
|---|---|---|---|---|---|---|---|
| Sede | Suiza | Lituania | Suiza | Alemania | Luxemburgo | Bélgica | Alemania |
| Cifrado | AES-256 + Argon2 | XChaCha20 | AES-256 | AES-256 | OpenPGP | AES-256 | Basado en dispositivo |
| Conocimiento cero | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| Ubicación de datos | Suiza | UE | Suiza | Alemania/UE | Self-host/UE | Bélgica/UE | Alemania |
| Riesgo CLOUD Act | Ninguno | Ninguno | Ninguno | Ninguno | Ninguno | Ninguno | Ninguno |
| Auditoría independiente | Sí (2023) | Sí (Cure53) | No | Parcial | Sí | No | No |
| Contrato art. 28 RGPD | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| SOC 2 | No | No | No | No | No | Sí | No |
Los siete son de conocimiento cero. El proveedor no puede leer la caja fuerte aunque le obliguen. Lo que cambia es la envoltura legal alrededor de esa caja. Los siete están bajo derecho de la UE o suizo. Ninguno es alcanzable mediante National Security Letters ni mediante la CLOUD Act.
Para sectores regulados (banca, sanidad, administración pública) la lista se acorta. Hypervault ofrece atestación SOC 2 y Passbolt permite self-hosting, lo que retira al proveedor del modelo de amenazas.
Precios
| Plan | 🇨🇭Proton Pass | 🇱🇹NordPass | 🇨🇭pCloud Pass | 🇩🇪Padloc | 🇱🇺Passbolt | 🇧🇪Hypervault | 🇩🇪heylogin |
|---|---|---|---|---|---|---|---|
| Gratis | Ilimitado | 1 dispositivo | No | 50 entradas | Self-host | Prueba 14 días | Limitado |
| Personal/año | 24 € | 22 € | 29 € | 35 € | 49 € (cloud) | 36 € | 60 € |
| Familia/año | 48 € (6 usuarios) | 44 € (6 usuarios) | — | — | — | — | — |
| Empresa/usuario/mes | 8 € | 4 € | — | — | 3 € | 3 € | 5 € |
Proton Pass tiene el único plan gratuito realmente utilizable. NordPass a 22 € al año es la opción de pago más barata, y suele bajar de 15 € en las ofertas de noviembre y Black Friday. Para equipos, Passbolt y Hypervault a 3 € por usuario y mes están claramente por debajo de 1Password Business.
Passkeys
Los passkeys sustituyen la contraseña por un par criptográfico ligado al dispositivo. No hay nada que sea posible phishear, ni nada que sirva en una filtración. El estándar FIDO Alliance lo apoyan Apple, Google y Microsoft, y la adopción en aplicaciones de uso masivo se aceleró durante 2024 y 2025. En España ya lo soporta el login del BBVA y la mayor parte de servicios bancarios.
Dos de los siete gestores aquí soportan passkeys hoy: Proton Pass y NordPass. Ambos sincronizan passkeys con cifrado extremo a extremo entre dispositivos. Padloc y Passbolt los tienen en hoja de ruta. El resto no se ha pronunciado.
Si el soporte de passkeys es decisivo para ti, la lista corta es de dos.
1. Proton Pass
Proton Pass apareció en 2023 como complemento al ecosistema de ProtonMail. Misma sede suiza, misma arquitectura de conocimiento cero, misma trayectoria de auditorías independientes. Si ya usas Proton para correo, añadir Pass es un paso pequeño dentro de la misma cuenta.
La función más distintiva son los alias hide-my-email. Cada sitio recibe una dirección de reenvío única. Cuando (no si) uno de esos sitios pierde su lista de usuarios, lo ves en la bandeja de entrada al instante y desactivas el alias con un clic. Tengo 47 alias activos a través de Proton Pass. Tres ya han recibido spam de sitios a los que nunca di mi correo real. Esos tres están bloqueados. Coste total: cero.
Lo que no funciona del todo: la extensión de navegador falla a veces con formularios que cargan el campo de contraseña por JavaScript después de renderizar la página. Las apps móviles son competentes pero un paso por detrás de NordPass en pulido.
El plan gratuito es viable para uso diario. La versión de pago cuesta 24 € al año y añade alias ilimitados más funciones de compartición avanzadas.
2. NordPass
Del equipo detrás de NordVPN. El marketing es más estridente de lo que me gusta. El producto en sí mismo es el gestor de contraseñas más pulido de esta lista.
NordPass usa XChaCha20 en lugar del AES-256 habitual. Los dos se consideran seguros. XChaCha20 es más nuevo y más resistente a ciertos ataques de canal lateral, aunque en la práctica la diferencia es teórica. Lo que sí notas es la interfaz. El autocompletado funciona. El escáner de filtraciones avisa cuando una de tus contraseñas aparece en una base de datos pública de leaks. La app de escritorio y la móvil coinciden entre sí.
No es open source. Esa es la única objeción real al modelo de confianza. NordPass encarga auditorías regulares a Cure53 y los informes son públicos. Cuánto peso tenga ese sustituto depende del modelo de amenazas de cada uno.
22 € al año, frecuentemente por debajo de 15 € en oferta. El plan gratuito está limitado a un dispositivo a propósito.
Probar NordPass →3. pCloud Pass
pCloud Pass existe porque pCloud quiere cubrir el paquete entero de privacidad. Almacenamiento más contraseñas más cifrado, todo en una cuenta suiza. Si ya pagas pCloud por el almacenamiento, integrar Pass tiene sentido.
Como producto independiente cuesta más justificarlo. 29 € al año dan menos funcionalidad que NordPass a 22 € o Proton Pass a 24 €. No hay plan gratuito para probarlo. Falta el soporte de passkeys. La extensión de navegador hace lo justo.
Recomendable si ya estás dentro del ecosistema pCloud y valoras la consolidación de cuentas por encima del catálogo de funciones.
Probar pCloud Pass →4. Padloc
Padloc es un proyecto pequeño alemán activo desde 2015 que nunca tomó el camino de escalado que sí tomó Proton. Todo está bajo AGPLv3. El módulo de cifrado en GitHub se lee en una tarde. Quien quiera retirar al proveedor del modelo de amenazas puede auto-alojar el servidor en un VPS de Hetzner o en una Raspberry Pi en casa.
El equipo es pequeño. El desarrollo va lento. En el plan gratuito falta el autocompletado en la extensión. La interfaz es sobria, lo habitual en software open source: hecha por gente que la usa, no rediseñada cada seis meses por marketing.
Para quien la auditabilidad pesa más que el pulido, ésta es la elección. 35 € al año el plan de pago, gratis hasta 50 entradas.
5. Passbolt
Passbolt no es un producto de consumo. Es un gestor de credenciales para equipos, construido sobre OpenPGP. Cada usuario tiene su par de claves. Las credenciales compartidas se cifran a cada destinatario por separado. Es como el cifrado de correo se imaginó originalmente. Los criptógrafos asienten.
La puesta en marcha es trabajo. Administras un servidor (o pagas por la versión cloud). Incorporar a una nueva persona implica generar e intercambiar claves. No hay app móvil, solo interfaz web. Nada de esto es accidental. Es el coste de hacer la criptografía correctamente.
Tiene sentido si tu equipo comparte credenciales root de AWS, contraseñas de la base de datos de producción o claves de API. Para el armario de claves de la familia con las cuentas de streaming es la herramienta equivocada.
Self-hosted gratis. 49 € al año la opción cloud con funciones de empresa.
6. Hypervault
Hypervault es la respuesta cuando el departamento de compras pregunta por SOC 2 y exige un contrato de encargado del tratamiento firmado con membrete oficial. Trae las dos cosas. La interfaz es software empresarial, lo cual es una forma educada de decir competente y aburrida.
Para uso personal está sobredimensionado. Para empresas europeas con responsables de cumplimiento, auditorías ISO 27001 o cuestionarios de seguridad para proveedores, la cobertura por casillas es precisamente el motivo: consola de administración, registros de auditoría, permisos por rol, SAML SSO. El producto está dirigido a la persona que firma riesgo, no a la que se loguea cada lunes por la mañana.
36 € al año en la versión personal. Los precios de empresa escalan por usuario.
7. heylogin
heylogin elimina la contraseña maestra. El smartphone se convierte en el método de autenticación. Face ID o huella desbloquean la caja fuerte. No hay nada que memorizar y nada que phishear.
Es genuinamente un modelo distinto. La pregunta filosófica es si un teléfono es más seguro que una contraseña maestra que solo tú conoces. Los teléfonos se roban. Las baterías se agotan. Los dispositivos se rompen. El flujo de recuperación para “ya no tengo el teléfono” es la pieza clave, y aparece naturalmente en el peor momento, que es cuando ya estás bloqueado.
60 € al año. El precio asume que eres un early adopter convencido del diseño y dispuesto a pagar por él.
Bitwarden, en breve
Bitwarden aparece en cualquier conversación sobre gestores open source. Con razón. El producto es excelente, el plan gratuito es de los mejores, el código es auditable.
También tiene su sede en California y por tanto cae dentro de la jurisdicción estadounidense. National Security Letters y la CLOUD Act aplican. Para muchos lectores eso es irrelevante. Para quien lee esta guía concretamente, ése es el motivo de que Bitwarden no aparezca en la lista.
Si la jurisdicción estadounidense no es un factor en tu caso, Bitwarden es probablemente el mejor gestor disponible. El texto de arriba está pensado para quien ya ha decidido que sí lo es.
Matriz de decisión
| Prioridad | Elige |
|---|---|
| Privacidad absoluta, ya usa Proton | 🇨🇭Proton Pass |
| Mejor experiencia de usuario | 🇱🇹NordPass |
| Open source o nada | 🇩🇪Padloc |
| Credenciales de equipo o desarrollo | 🇱🇺Passbolt |
| Cumplimiento corporativo | 🇧🇪Hypervault |
| Apuesta por el futuro sin contraseñas | 🇩🇪heylogin |
| Ya dentro del ecosistema pCloud | 🇨🇭pCloud Pass |
Lo que uso de verdad
Para uso personal, Proton Pass. Los alias se amortizan en pocas semanas reduciendo spam, y la cuenta ya está abierta para correo, así que añadir un segundo producto cuesta poco.
Para credenciales de infraestructura compartidas con colaboradores, Passbolt. El modelo PGP por destinatario encaja con cómo debería darse el acceso a producción: explícito, persona por persona, con rastro de claves.
Esta configuración no es consejo general. Funciona para mi flujo de trabajo. Quien no necesita alias ni comparte accesos con un equipo, va más fluido con NordPass y se ahorra 2 € al año.
Lo que no merece la pena: quedarse en un gestor estadounidense por pereza. La migración cabe en una tarde.
Migración desde 1Password, LastPass o Bitwarden
El proceso es el mismo en los siete proveedores.
Exportar desde el gestor actual
- 1Password: Archivo → Exportar → CSV
- LastPass: Opciones de cuenta → Avanzado → Exportar
- Bitwarden: Herramientas → Exportar caja fuerte → CSV
- Chrome: Configuración → Contraseñas → Exportar
Importar al gestor nuevo
Los siete aceptan el CSV estándar. La asignación de columnas suele ser automática. Calcula diez minutos incluyendo la revisión.
Mantener ambos durante dos semanas
No elimines el gestor antiguo de inmediato. Quédate con los dos instalados. Si un login falla con el nuevo, volver al anterior es barato. Después de dos semanas de uso normal, sabrás si quedó algo fuera.
Rotar las contraseñas críticas
La migración es buen momento para cambiar las contraseñas de banco, correo principal y cuentas cloud centrales. El generador del nuevo gestor se encarga con un clic por sitio.
Una estrategia razonable: migrar todo de golpe, pero rotar solo las veinte credenciales más usadas. El resto se rotará por sí mismo según vayas usando cada sitio.
Preguntas frecuentes
¿La AEPD permite usar un gestor de contraseñas alojado en EE. UU.?
Lo tolera, pero con condiciones. Tras Schrems II hace falta cláusulas contractuales tipo, una evaluación de impacto de la transferencia y, en muchos casos, medidas adicionales como cifrado del lado del cliente. Un proveedor europeo evita todo ese papeleo.
¿Puedo migrar desde 1Password o LastPass?
Sí. Los siete proveedores aceptan importación CSV. Los pasos descritos antes llevan unos diez minutos por origen.
¿Qué proveedores soportan passkeys?
Proton Pass y NordPass. Ambos sincronizan los passkeys cifrados de extremo a extremo entre dispositivos. Los otros cinco aún no.
¿Cuál encaja para equipos con obligaciones RGPD?
Passbolt para equipos técnicos (OpenPGP, self-hosting). Hypervault para empresas con cumplimiento (SOC 2, registros de auditoría, SAML SSO). NordPass para uso empresarial general a 4 € por usuario y mes. Los tres entregan contrato de encargado del tratamiento conforme al artículo 28 del RGPD.
¿Qué pasa si el proveedor cierra?
En las opciones open source (Proton Pass, Padloc, Passbolt) puedes auto-alojar o exportar. En las cerradas, exporta como CSV con regularidad. Todos los gestores de esta lista permiten exportación CSV.
¿Es suficiente el plan gratuito?
Proton Pass: sí, para la mayoría de usuarios. NordPass: no, un dispositivo se queda corto. Padloc: justo, 50 entradas. Resto: no.
¿Son los gestores europeos tan seguros como Bitwarden o 1Password?
Sí. AES-256, XChaCha20 y OpenPGP están al mismo nivel práctico que el cifrado que despliegan los proveedores estadounidenses. Lo que cambia es la jurisdicción, no la criptografía.
Enlaces directos
- 🇨🇭Proton Pass: mejor plan gratuito, mejor para usuarios de Proton
- 🇱🇹NordPass: mejor experiencia general
- 🇩🇪Padloc: mejor open source
- 🇱🇺Passbolt: mejor opción para equipos
- 🇧🇪Hypervault: enfocado a cumplimiento
- 🇩🇪heylogin: planteamiento más vanguardista
Relacionado:
- El ecosistema Proton completo: Mail, VPN, Drive, Pass en una sola cuenta
- Almacenamiento cloud UE comparado: pCloud, Proton Drive, Tresorit
- Por qué importa el software europeo
Precios y funciones verificados el 28/05/2026. Última revisión sustantiva: mayo de 2026.
Divulgación de afiliados
Algunos enlaces en este artículo son enlaces de afiliados. Si te registras a través de nuestro enlace, recibimos una pequeña comisión sin costo adicional para ti. Esto nos ayuda a mantener EU Picks.