¿Qué criptografía usa rclone crypt?

El contenido de los archivos se cifra con XSalsa20-Poly1305, el cifrado autenticado de la construcción NaCl SecretBox. La clave se deriva de tu contraseña mediante scrypt, con una segunda contraseña opcional (llamada sal, o password2) para reforzarla aún más. Los nombres de archivo, en el modo standard por defecto, se cifran con EME (un modo AES de bloque ancho). Todo ocurre localmente antes de cualquier tránsito por la red: ni el contenido ni los nombres llegan al proveedor en claro.

¿rclone crypt cifra también los nombres de archivos y carpetas?

Sí, opcionalmente. El modo de nombres por defecto es standard, que cifra los nombres de archivo con EME (AES). También puedes elegir obfuscate (un revuelto más ligero y rápido) u off (los nombres quedan legibles). El cifrado de nombres de carpetas es un ajuste aparte, activable o no durante la configuración. Si pones el cifrado de nombres de archivos y carpetas en off, solo se protege el contenido y la estructura de carpetas queda visible para el proveedor, lo que puede filtrar metadatos.

¿Está segura mi contraseña dentro de rclone.conf?

No por defecto, y este es el punto más importante. rclone.conf guarda tu contraseña crypt ofuscada, no fuertemente cifrada. La ofuscación es reversible: cualquiera que pueda leer tu rclone.conf puede recuperar la contraseña con rclone reveal. Para protegerla de verdad, define una contraseña de configuración mediante rclone config (Set configuration password), que cifra todo el archivo rclone.conf. Restringe siempre los permisos del archivo y, idealmente, cífralo. Trata ese archivo como un secreto.

¿rclone crypt o Cryptomator — cuál debería usar?

Ambos son open-source, del lado del cliente y zero-knowledge, así que la elección es de flujo de trabajo. rclone crypt es una herramienta de línea de comandos: scriptable, ideal para servidores headless y copias de seguridad automatizadas, y funciona con cualquiera de los 70+ remotes de rclone. Cryptomator es ante todo gráfico, monta un baúl cifrado como una unidad virtual y ofrece apps móviles oficiales para iOS y Android, lo que lo hace mejor para un uso interactivo de escritorio y móvil. Si vives en una terminal o automatizas copias, elige rclone crypt. Si quieres un baúl que montar con un clic y abrir también en el móvil, elige Cryptomator. Mucha gente usa ambos.

rclone crypt 2026: cifra tus archivos en la nube del lado del cliente antes de subirlos

Lo esencial

rclone crypt es una capa de cifrado del lado del cliente integrada en rclone, la herramienta open-source de línea de comandos que gestiona y sincroniza archivos en 70+ proveedores de nube. El backend crypt envuelve otro remote y cifra el contenido de tus archivos — y, opcionalmente, sus nombres — en tu propio equipo antes de subirlos, y los descifra al descargar. El proveedor solo almacena texto cifrado. Eso convierte en zero-knowledge cualquier nube a la que lo apuntes.

¿Para quién es? Cualquiera cómodo en una terminal que quiera un cifrado scriptable y automatizable: copias cifradas cada noche, un servidor headless sin interfaz, o simplemente añadir cifrado del lado del cliente sobre un proveedor — Google Drive, Backblaze B2, S3, OneDrive — sin modo zero-knowledge nativo. Si prefieres evitar la línea de comandos, Cryptomator cubre el mismo objetivo con un baúl gráfico, y comparamos ambos más abajo.

Esta guía explica con exactitud cómo cifra rclone crypt, cómo configurarlo paso a paso, los modos de nombres, y una trampa honesta que casi todos los tutoriales omiten: la forma en que rclone.conf guarda tu contraseña.

Cómo cifra (contenido y nombres)

rclone crypt hace todo su trabajo localmente, con primitivas documentadas:

El contenido de los archivos se cifra con XSalsa20-Poly1305, el cifrado autenticado de la construcción NaCl SecretBox. Autenticado significa que cualquier manipulación se detecta al descargar.
La clave de cifrado se deriva de tu contraseña mediante scrypt (una función de derivación memory-hard), con una segunda contraseña opcional — llamada sal, o password2 — para reforzarla.
Los nombres de archivo, en el modo standard por defecto, se cifran con EME (un modo AES de bloque ancho): un carácter cambiado modifica todo el nombre cifrado.

Lo que sigue visible para el proveedor, con el cifrado completo activado: aproximadamente el tamaño de cada archivo cifrado y el número de archivos. No el contenido, no los nombres. Es el mismo principio — trasladar la confianza a una contraseña local — que sustenta todo el cifrado del lado del cliente.

Una pantalla de ordenador mostrando comandos de terminal y código fuente

Configurar rclone crypt (pasos de config)

La configuración son dos remotes: un remote base que habla con tu nube y un remote crypt que lo envuelve. Todo se hace con rclone config.

Crea el remote base. Ejecuta rclone config, elige n (nuevo remote), nómbralo (p. ej. gdrive) y sigue las indicaciones del proveedor (OAuth para Google Drive, claves para S3/B2, etc.).
Crea el remote crypt. Vuelve a ejecutar rclone config, n para nuevo, nómbralo (p. ej. secret) y elige el backend crypt.
Apúntalo a una subcarpeta del remote base, para que los blobs cifrados caigan en una carpeta dedicada:

remote> gdrive:encrypted

Elige los modos de cifrado de nombres de archivos y carpetas (ver la sección siguiente), luego define una contraseña y, opcionalmente, una segunda contraseña (sal). Puedes dejar que rclone genere una fuerte y aleatoria.

Una vez existe el remote secret:, cifrar y subir es un solo comando:

rclone copy ~/archivos secret:

Todo lo que se escribe en secret: se cifra localmente y se almacena bajo gdrive:encrypted. La lectura (rclone copy secret: ~/restore) descifra de forma transparente. El mismo patrón funciona con rclone sync, rclone mount y cualquier otro comando rclone.

Modos de cifrado de nombres

Al crear el remote crypt, rclone pregunta cómo tratar los nombres de archivo. Tres modos:

Modo	Qué hace	Compromiso
`standard`	Cifra los nombres con EME (AES) — el predeterminado	Máxima privacidad; nombres cifrados más largos
`obfuscate`	Un revuelto más ligero de los nombres	Más rápido, nombres más cortos, más débil que standard
`off`	Los nombres quedan legibles	Sin privacidad de nombres; la estructura se filtra

El cifrado de nombres de carpetas es un ajuste sí/no aparte. Activarlo oculta también tu árbol de carpetas al proveedor. Si pones el cifrado de nombres de archivos y carpetas en off, solo se protege el contenido y el proveedor ve toda tu estructura de carpetas — un metadato útil para un atacante. Prefiere standard salvo motivo concreto.

La trampa de rclone.conf (contraseña ofuscada)

Este es el punto que casi todas las guías omiten, y importa. Por defecto, rclone guarda tu contraseña crypt en rclone.conf ofuscada — no fuertemente cifrada. La ofuscación es reversible: cualquiera que pueda leer el archivo puede recuperar la contraseña (rclone reveal hace justo eso). Un rclone.conf filtrado filtra, por tanto, tu clave de cifrado.

Dos cosas que hacer:

Define una contraseña de configuración. En rclone config, elige Set configuration password (s). Esto cifra todo el archivo rclone.conf, de modo que la contraseña crypt ofuscada ya no es legible sin esa contraseña de config.
Asegura el archivo. Restringe los permisos (chmod 600 rclone.conf), mantenlo fuera de ubicaciones compartidas o respaldadas en claro, y trátalo como un secreto en cualquier servidor headless.

Y una regla sin escapatoria: si pierdes la contraseña crypt, tus datos son irrecuperables. No hay reinicio, ni clave de recuperación, ni soporte. Respalda la contraseña en un gestor de contraseñas con una copia offline cifrada.

rclone crypt vs Cryptomator (cuál elegir)

Ambos son open-source, del lado del cliente y zero-knowledge. La diferencia está en la interfaz y el flujo de trabajo, no en el modelo de seguridad.

	rclone crypt	Cryptomator
Interfaz	Línea de comandos (CLI)	Gráfica (GUI)
Modelo de acceso	Comandos rclone / `rclone mount`	Monta un baúl como unidad virtual
Ideal para	Servidores headless, copias automatizadas, scripts	Uso interactivo de escritorio y móvil
Proveedores	Cualquiera de los 70+ remotes de rclone	Clientes de nube (Dropbox, Drive, iCloud, pCloud, OneDrive…)
Apps móviles oficiales	No	Sí (iOS + Android)
Open-source	Sí	Sí
Zero-knowledge	Sí	Sí

Elige rclone crypt si automatizas copias, manejas una máquina headless o quieres cifrar sobre cualquier remote de rclone desde la línea de comandos. Elige Cryptomator si quieres un baúl que montar con un clic y abrir también en el móvil. No son rivales — mucha gente usa rclone crypt para las copias del servidor y Cryptomator para los archivos diarios de escritorio. Para elegir el proveedor que poner debajo de cualquiera de las dos herramientas, consulta nuestro panorama de servicios de nube cifrada.

Conclusión

rclone crypt convierte cualquiera de los 70+ proveedores de nube en un objetivo zero-knowledge con primitivas contrastadas — XSalsa20-Poly1305 para el contenido, scrypt para la clave, EME para los nombres. Es la herramienta adecuada cuando quieres un cifrado del lado del cliente automatizable y scriptable, sobre todo en un servidor. Los dos puntos que conviene acertar son honestos: elige el cifrado de nombres standard salvo motivo contrario, y protege rclone.conf con una contraseña de configuración, porque la contraseña crypt allí solo está ofuscada, no cifrada. Haz eso, guarda una copia segura de la contraseña, y tendrás un cifrado del lado del cliente que sobrevive a una brecha o un requerimiento legal al proveedor.

FAQ

Las preguntas más frecuentes están cubiertas en el bloque de FAQ estructurado de arriba (también mostrado en el rich snippet de Google): qué es rclone crypt y para quién, la criptografía que usa, el cifrado de nombres de archivos y carpetas, la seguridad de la contraseña dentro de rclone.conf, y la comparación con Cryptomator.

Preguntas frecuentes

¿Qué es rclone crypt y para quién es?: rclone crypt es un backend (una capa superpuesta) de rclone, la herramienta open-source de línea de comandos que sincroniza archivos en 70+ proveedores de nube. crypt envuelve otro remote y cifra el contenido de tus archivos (y, opcionalmente, sus nombres) en tu equipo antes de subirlos, y los descifra al descargar. El proveedor solo almacena texto cifrado: es zero-knowledge. Está pensado para personas cómodas con una terminal: copias de seguridad cifradas automatizadas, un servidor headless, o añadir cifrado del lado del cliente sobre un proveedor sin opción zero-knowledge nativa (Google Drive, Backblaze B2, S3, OneDrive…).
¿Qué criptografía usa rclone crypt?: El contenido de los archivos se cifra con XSalsa20-Poly1305, el cifrado autenticado de la construcción NaCl SecretBox. La clave se deriva de tu contraseña mediante scrypt, con una segunda contraseña opcional (llamada sal, o password2) para reforzarla aún más. Los nombres de archivo, en el modo standard por defecto, se cifran con EME (un modo AES de bloque ancho). Todo ocurre localmente antes de cualquier tránsito por la red: ni el contenido ni los nombres llegan al proveedor en claro.
¿rclone crypt cifra también los nombres de archivos y carpetas?: Sí, opcionalmente. El modo de nombres por defecto es standard, que cifra los nombres de archivo con EME (AES). También puedes elegir obfuscate (un revuelto más ligero y rápido) u off (los nombres quedan legibles). El cifrado de nombres de carpetas es un ajuste aparte, activable o no durante la configuración. Si pones el cifrado de nombres de archivos y carpetas en off, solo se protege el contenido y la estructura de carpetas queda visible para el proveedor, lo que puede filtrar metadatos.
¿Está segura mi contraseña dentro de rclone.conf?: No por defecto, y este es el punto más importante. rclone.conf guarda tu contraseña crypt ofuscada, no fuertemente cifrada. La ofuscación es reversible: cualquiera que pueda leer tu rclone.conf puede recuperar la contraseña con rclone reveal. Para protegerla de verdad, define una contraseña de configuración mediante rclone config (Set configuration password), que cifra todo el archivo rclone.conf. Restringe siempre los permisos del archivo y, idealmente, cífralo. Trata ese archivo como un secreto.
¿rclone crypt o Cryptomator — cuál debería usar?: Ambos son open-source, del lado del cliente y zero-knowledge, así que la elección es de flujo de trabajo. rclone crypt es una herramienta de línea de comandos: scriptable, ideal para servidores headless y copias de seguridad automatizadas, y funciona con cualquiera de los 70+ remotes de rclone. Cryptomator es ante todo gráfico, monta un baúl cifrado como una unidad virtual y ofrece apps móviles oficiales para iOS y Android, lo que lo hace mejor para un uso interactivo de escritorio y móvil. Si vives en una terminal o automatizas copias, elige rclone crypt. Si quieres un baúl que montar con un clic y abrir también en el móvil, elige Cryptomator. Mucha gente usa ambos.

Choix éditorial

4.5 / 5

Añade cifrado zero-knowledge → pCloud Crypto

Cifrado del lado del cliente · solo tú tienes la clave · jurisdicción suiza

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre