Cómo proteger descargas con contraseña en Gokapi y otras alternativas

Última actualización: 17/07/2026

  • Gokapi permite gestionar archivos temporales con límites de descarga y protección mediante contraseñas y cifrado E2EE.
  • La instalación puede realizarse mediante Docker o Bare Metal, ofreciendo flexibilidad en la base de datos (SQLite o Redis).
  • Existen métodos complementarios de seguridad como el cifrado de carpetas en Windows/Mac y el uso de .htaccess en servidores web.
Cómo proteger descargas con contraseña en Gokapi

Enviar un archivo grande mediante correo electrónico no siempre es posible, mientras que dejarlo permanentemente en una carpeta pública puede exponerlo más tiempo del necesario. Una alternativa consiste en crear un enlace que caduque después de unos días o cuando alcance un número determinado de descargas.

Gokapi es un servidor de intercambio temporal de archivos que puedes alojar en tu propio VPS, NAS u ordenador. Permite limitar las descargas, establecer una caducidad, proteger los enlaces con contraseña y elegir entre almacenamiento local o servicios compatibles con S3. Al tratarse de una aplicación autoalojada, la seguridad no depende únicamente de Gokapi. También debes mantener el servidor actualizado, utilizar HTTPS, proteger las cuentas y realizar copias de seguridad de la configuración.

Qué es Gokapi y para quién resulta útil

Para que sirve Gokapi

Gokapi es una alternativa autoalojada al desaparecido Firefox Send. Está pensada para compartir archivos que deben desaparecer automáticamente después de un periodo concreto o tras alcanzar un límite de descargas.

Las versiones actuales permiten crear varios usuarios con permisos diferentes. Normalmente, solo los usuarios autenticados pueden subir archivos, mientras que los visitantes anónimos se limitan a descargarlos mediante los enlaces recibidos.

También existe una función de solicitudes de archivos. Esta permite crear un enlace para que una persona externa suba contenido sin tener una cuenta. Puedes limitar el número de archivos, su tamaño total y la fecha de caducidad de la solicitud.

Conviene diferenciar la contraseña de descarga del cifrado. La contraseña controla quién puede abrir el enlace, mientras que el cifrado protege el contenido almacenado. Para archivos sensibles puede ser necesario utilizar ambas medidas.

Contenido exclusivo - Clic Aquí  Cómo instalar Windows 10 en Steam Deck paso a paso

Cómo instalar Gokapi con Docker

instalar Gokapi con Docker

La combinación recomendada para la mayoría de los usuarios es utilizar la versión estable mediante Docker. Los directorios de datos y configuración deben almacenarse en volúmenes persistentes; de lo contrario, podrías perderlos al eliminar o actualizar el contenedor.

Puedes iniciar una instalación básica con este comando:

docker run -d \
  --name gokapi \
  --restart unless-stopped \
  -v gokapi-data:/app/data \
  -v gokapi-config:/app/config \
  -p 127.0.0.1:53842:53842 \
  -e TZ=Europe/Madrid \
  f0rc3/gokapi:latest

Después del primer arranque, abre http://127.0.0.1:53842/setup. El asistente permite configurar la base de datos, el método de autenticación, la dirección pública, el almacenamiento y el nivel de cifrado.

El puerto se ha vinculado únicamente a localhost porque, en una instalación expuesta a internet, resulta preferible colocar Gokapi detrás de un proxy inverso con HTTPS, como Caddy, Nginx o Traefik. Publicar directamente el puerto sin TLS dejaría las credenciales y los archivos expuestos durante el tránsito.

Si prefieres Docker Compose, el repositorio oficial proporciona los archivos docker-compose.yaml y .env.dist. Renombra este último como .env, revisa sus opciones y ejecuta docker compose up -d.

Configura los usuarios, HTTPS y el almacenamiento

Gokapi utiliza SQLite de forma predeterminada, una opción suficiente para la mayoría de las instalaciones personales. Redis puede resultar útil con mucho tráfico o cuando la base de datos se encuentra en un soporte lento, pero debes activar su persistencia para no perder los datos después de un reinicio.

Para iniciar sesión puedes utilizar usuarios y contraseñas locales, OpenID Connect o autenticación delegada mediante cabeceras. OIDC permite integrar proveedores como Google, Authelia, Keycloak o Microsoft Entra. No desactives la autenticación interna salvo que el proxy inverso esté correctamente configurado para proteger todas las rutas administrativas.

Los archivos pueden guardarse localmente o en un bucket compatible con S3, como Amazon S3 o Backblaze B2. En este último caso, utiliza un bucket privado y credenciales dedicadas con los permisos mínimos necesarios. Gokapi genera enlaces prefirmados de corta duración para las descargas, aunque también puede actuar como proxy si no quieres mostrar la dirección del proveedor.

Contenido exclusivo - Clic Aquí  Cómo cancelar CapCut Pro y evitar que te sigan cobrando

Ten en cuenta que, si no activas el cifrado, los archivos almacenados en S3 permanecerán legibles para quien obtenga acceso al bucket.

Cómo proteger una descarga con contraseña y caducidad

Desde el panel de subida puedes seleccionar un archivo y establecer dos límites independientes: el número máximo de descargas y los días que permanecerá disponible. Cuando se cumple uno de ellos, el archivo caduca y Gokapi lo elimina durante su proceso periódico de limpieza.

También puedes asignar una contraseña específica a la descarga. Utiliza una clave diferente a la de tu cuenta administrativa y envíala al destinatario por otro canal. Por ejemplo, puedes compartir el enlace por correo y la contraseña mediante una aplicación de mensajería.

Una contraseña no compensa un enlace demasiado expuesto ni sustituye a HTTPS. Evita publicar las direcciones de descarga en páginas abiertas y elimina manualmente los archivos cuando ya no sean necesarios, aunque todavía no hayan alcanzado su fecha límite.

Qué nivel de cifrado debes elegir

nivel de cifrado Gokapi

Gokapi ofrece tres niveles de cifrado, además de la posibilidad de no cifrar los archivos:

  • Nivel 1: cifra únicamente los archivos guardados en el almacenamiento local. Los enviados a S3 permanecen sin cifrar.
  • Nivel 2: cifra tanto el almacenamiento local como el remoto. Cuando se utiliza S3, parte del proceso de descifrado se realiza en el dispositivo del destinatario.
  • Nivel 3: aplica cifrado de extremo a extremo en el navegador antes de realizar la subida, por lo que el servidor no recibe el archivo original sin cifrar durante el funcionamiento normal.

El nivel 3 ofrece mayor aislamiento, pero desactiva los enlaces directos o hotlinks y puede reducir la velocidad de descarga, especialmente en dispositivos móviles. La documentación también advierte de una incompatibilidad con Firefox que puede provocar archivos truncados, por lo que conviene realizar una prueba con el navegador del destinatario.

Además, la implementación criptográfica de Gokapi no ha sido auditada de manera independiente. No debería presentarse como una garantía absoluta para información extremadamente sensible.

Contenido exclusivo - Clic Aquí  Cómo desactivar la Seguridad de Windows

Las solicitudes de archivos tampoco aplican el cifrado de extremo a extremo del nivel 3. Las subidas recibidas mediante estos enlaces pueden utilizar el cifrado de los niveles 1 o 2, pero no se cifran previamente en el navegador del remitente.

Antes de cambiar la configuración de cifrado, realiza una copia de seguridad. Gokapi advierte de que modificar estos ajustes puede eliminar los archivos que ya se encontraban cifrados.

Automatiza las subidas y descargas con la CLI

La herramienta gokapi-cli permite subir archivos, establecer caducidades, limitar las descargas y añadir una contraseña desde la terminal. Primero debes autenticarte mediante una clave de API con los permisos necesarios:

gokapi-cli login

Después puedes realizar una subida con parámetros como --expiry-days, --expiry-downloads y --password. Ten cuidado al escribir contraseñas directamente en un comando, ya que podrían quedar guardadas en el historial de la terminal.

El comando upload-dir comprime una carpeta en formato ZIP antes de subirla. Para descargar un archivo se utiliza su identificador:

gokapi-cli download -i IDENTIFICADOR

La opción --remove elimina el archivo del servidor después de completar correctamente la descarga. Las credenciales de la CLI se almacenan sin cifrar en su archivo de configuración, por lo que debes restringir sus permisos y evitar guardarlo en carpetas compartidas.

Gokapi también ofrece una API REST para integrar las subidas en scripts y aplicaciones. Las claves de API deben tener únicamente los permisos imprescindibles y no deben incluirse directamente en repositorios de código.

Gokapi resulta especialmente útil cuando necesitas controlar cuánto tiempo permanece disponible un archivo y cuántas veces puede descargarse. Una instalación segura requiere combinar enlaces temporales, contraseñas, HTTPS, permisos adecuados y un nivel de cifrado acorde con la sensibilidad de la información.

Cómo compartir carpetas entre Windows y Android
Related article:
Cómo compartir carpetas entre Windows y Android de forma fácil y segura