Si acabas de alquilar un servidor privado virtual, la tarea que tienes por delante es breve pero implacable: en la primera hora te conectas por SSH, creas un usuario sin privilegios de root, cambias a inicio de sesión solo con clave, activas un cortafuegos y automatizas las actualizaciones de seguridad. Hazlo y tu VPS será más difícil de vulnerar que la mayoría de los servidores en producción. Sáltatelo y los bots estarán haciendo fuerza bruta contra root por SSH antes de que termines tu café. Esta guía recorre la secuencia completa de la primera hora para configurar un VPS y, después, cubre las partes que la mayoría de los tutoriales omiten en 2026: cómo ajustar el tamaño del plan cuando la RAM es cara, y si un VPS es siquiera la opción correcta para lo que estás construyendo.
Un VPS es una porción de un servidor físico con su propio sistema operativo, acceso root y recursos dedicados. Obtienes una máquina Linux en blanco y una dirección IP. Todo lo demás corre por tu cuenta, que es precisamente por lo que el orden de configuración importa.
Lo que necesitas antes de empezar
Tres cosas, y puedes tenerlas todas en cinco minutos:
- Un VPS de un proveedor: DigitalOcean, Hetzner, Vultr, OVHcloud, Linode o cualquier proveedor que te entregue root y una IP. Tras la compra recibirás un correo con la dirección IP del servidor y una contraseña root temporal (o se te pedirá que subas una clave SSH durante la creación, que es mejor; hazlo si te lo ofrecen).
- Un cliente SSH. macOS y Linux ya traen uno en la terminal. En Windows, usa el cliente OpenSSH integrado en PowerShell, o PuTTY.
- Un plan de lo que el servidor va a ejecutar: un sitio web, una aplicación y su base de datos, un servidor de juegos, una herramienta autoalojada. Esto decide cuánta RAM compras, algo que se cubre más abajo.
Elige Ubuntu LTS (24.04) o Debian 12 como sistema operativo, salvo que tengas un motivo para no hacerlo. Los comandos siguientes asumen una máquina Debian/Ubuntu; en AlmaLinux o Rocky, cambia apt por dnf y ufw por firewalld.
¿Cómo configurar un VPS? La secuencia segura de la primera hora
Esto es lo esencial. Ejecuta estos pasos en orden en cuanto arranque el servidor. Cada comando es estándar y reversible, y toda la secuencia lleva entre 20 y 30 minutos.
1. Conéctate por SSH. Desde tu terminal, inicia sesión como root con la IP de tu correo de bienvenida:
ssh root@your_server_ip
Acepta la huella del host, introduce la contraseña temporal y ya estás dentro.
2. Actualiza todo primero. Tu imagen recién creada casi nunca está totalmente parcheada. En Debian/Ubuntu:
apt update && apt upgrade -y
3. Crea un usuario sin privilegios de root con sudo. Trabajar como root a tiempo completo es el error de principiante más común: un solo comando equivocado se ejecuta sin nada que lo detenga. Crea un usuario normal y dale permisos de administrador:
adduser deploy
usermod -aG sudo deploy
4. Configura la autenticación con clave SSH. Las contraseñas acaban siendo vulneradas por fuerza bruta; las claves no. En tu máquina local, genera una clave moderna si no tienes una y, después, cópiala al servidor:
ssh-keygen -t ed25519 -C "[email protected]"
ssh-copy-id deploy@your_server_ip
Cierra la sesión y vuelve a entrar como deploy para confirmar que la clave funciona antes del siguiente paso.
5. Desactiva el inicio de sesión como root y la autenticación por contraseña. Ahora cierra las dos puertas en las que se apoyan los atacantes. Edita /etc/ssh/sshd_config y establece:
PermitRootLogin no
PasswordAuthentication no
Luego recarga SSH: sudo systemctl restart ssh. A partir de aquí, la única forma de entrar es con tu clave como usuario deploy. Este único cambio elimina la abrumadora mayoría de los ataques automatizados por SSH.
6. Activa un cortafuegos. Permite solo lo que necesitas: SSH y el tráfico web si vas a alojar un sitio:
sudo ufw allow OpenSSH
sudo ufw allow 80
sudo ufw allow 443
sudo ufw enable
7. Añade Fail2Ban. Vigila tus registros y banea temporalmente las IP que machacan SSH:
sudo apt install fail2ban -y
sudo systemctl enable --now fail2ban
8. Automatiza las actualizaciones de seguridad. Un servidor que parcheas a mano es un servidor que con el tiempo se queda sin parchear. Activa las actualizaciones de seguridad desatendidas:
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure --priority=low unattended-upgrades
Esa es la base. Una máquina con un usuario sin privilegios de root, SSH solo con clave, un cortafuegos, Fail2Ban y actualizaciones automáticas está en mejor forma que una cantidad sorprendente de servidores que ejecutan cargas de trabajo reales. En WaseerHost, nuestro propio servicio de hosting, esta secuencia exacta es el valor predeterminado innegociable antes de instalar cualquier otra cosa: es aburrida a propósito.
¿Cuánta RAM (y qué plan) necesitas realmente en 2026?
Aquí es donde 2026 cambia las cuentas. La RAM de servidor se ha encarecido de forma notable, y eso se ha trasladado directamente a los precios de los VPS; cubrimos las causas en por qué tu factura de VPS sube en 2026. El efecto práctico: sobredimensionar la RAM «por si acaso» ahora cuesta dinero real cada mes, así que ajústala a la carga de trabajo y escala más adelante.
Una guía aproximada para elegir un plan de partida:
| Carga de trabajo | Empieza con | Por qué |
|---|---|---|
| Sitio estático, blog de poco tráfico, proyecto personal | 1 vCPU / 1 GB RAM | De sobra para Nginx + un sitio estático o un CMS pequeño |
| Una aplicación dinámica + su base de datos | 2 vCPU / 4 GB RAM | Espacio para la aplicación, una base de datos y la caché del sistema |
| Varios sitios o una aplicación de tráfico moderado | 4 vCPU / 8–16 GB RAM | Margen para varios servicios y picos de tráfico |
La buena noticia: casi todos los proveedores te permiten redimensionar un VPS más tarde, así que empieza en la parte baja del rango que encaje y sube solo cuando la monitorización (paso de más abajo) te lo indique. Así se comparan algunos planes de entrada populares, usando los precios publicados de cada proveedor:
| Proveedor / plan | vCPU | RAM | Almacenamiento | Transferencia incluida | Precio (según lo publicado) |
|---|---|---|---|---|---|
| DigitalOcean Basic | 1 | 512 MiB | 10 GiB SSD | 500 GiB | $4/mo (jun. 2026) |
| DigitalOcean Basic | 1 | 1 GiB | 25 GiB SSD | 1 TB | $6/mo (jun. 2026) |
| DigitalOcean Basic | 1 | 2 GiB | 50 GiB SSD | 2 TB | $12/mo (jun. 2026) |
| Hetzner CX23 (UE) | 2 | 4 GB | 40 GB NVMe | 20 TB | €3.99/mo (desde abr. 2026) |
| Hetzner CPX22 (global) | 2 | 4 GB | 80 GB NVMe | 20 TB | €7.99/mo (desde abr. 2026) |
Fíjate en la columna de transferencia incluida, no solo en el precio. Los planes de entrada de DigitalOcean incluyen de 500 GiB a 2 TB; Hetzner incluye 20 TB. Si tu proyecto sirve muchos datos, el tráfico de salida medido puede eclipsar discretamente la renta base: la misma trampa que desglosamos en tarifas de salida de datos en la nube en 2026. Lee la asignación de ancho de banda antes que el precio del titular.
¿Es un VPS siquiera la opción correcta en 2026?
Antes de configurar uno, conviene preguntarse si deberías hacerlo. Un VPS te da control total y un precio plano predecible, y es difícil de superar para una sola aplicación, un proyecto personal o cualquier cosa en la que quieras root y ninguna factura sorpresa. La contrapartida es que ahora tú eres el administrador de sistemas: el parcheo, las copias de seguridad y la disponibilidad son tu trabajo.
Cada alternativa elimina parte de ese trabajo a cambio de un coste distinto:
- Hosting gestionado / PaaS (Render, Railway, WordPress gestionado) se encarga del sistema operativo y la seguridad por ti, a un precio mensual más alto y con menos control. Es buena opción cuando prefieres publicar antes que administrar un servidor.
- Serverless / funciones (Lambda, Cloudflare Workers) escala a cero y cobra por solicitud: excelente para cargas de trabajo irregulares o de poco volumen, incómodo para cualquier cosa que necesite un proceso de larga duración o una base de datos local.
- Una base de datos gestionada junto a tu VPS suele ser el camino intermedio inteligente: ejecuta tu aplicación en el VPS, pero deja que otro se encargue de las copias de seguridad y la conmutación por error de Postgres. Comparamos las opciones en los mejores proveedores de Postgres gestionado en 2026.
Si quieres control, una factura fija y estás dispuesto a invertir la primera hora de más arriba más algo de mantenimiento ocasional, un VPS es la herramienta adecuada. Si «mantenimiento ocasional» te suena a una tarea que nunca vas a hacer, una plataforma gestionada te servirá mejor.
Mantenerlo en marcha: copias de seguridad, monitorización y actualizaciones
La configuración no es un evento único: es el comienzo de ser propietario de un servidor. Tres hábitos mantienen sano un VPS mucho después de la primera hora:
- Copias de seguridad. La mayoría de los proveedores ofrecen instantáneas o copias de seguridad automatizadas por un pequeño suplemento mensual (a menudo en torno al 20% del precio del servidor). Actívalas. Una instantánea a la que puedas volver es la diferencia entre una mala tarde y un proyecto perdido. No dependas únicamente de las instantáneas del proveedor para los datos irremplazables: copia también los archivos críticos fuera del servidor.
- Monitorización. Vigila la CPU, la RAM y el disco para saber cuándo redimensionar en lugar de adivinarlo. Las gráficas integradas del proveedor cubren lo básico; agentes ligeros como Netdata o una instancia gratuita de Uptime Kuma añaden alertas. Así también confirmas si el plan pequeño con el que empezaste es realmente suficiente.
- Actualizaciones más allá de las desatendidas. Las actualizaciones automáticas se encargan de los parches de seguridad del sistema operativo, pero el software que tú instalaste —tu servidor web, el entorno de ejecución y las aplicaciones— sigue necesitando atención periódica. Programa un recordatorio recurrente para revisarlas y actualizarlas.
Nada de esto es glamuroso, y ese es justamente el punto. Un VPS bien configurado es uno en el que rara vez tienes que pensar.
Preguntas frecuentes
¿Cómo se configura un VPS?
Conéctate a él por SSH usando la IP y las credenciales de tu proveedor, ejecuta una actualización completa del sistema y, después, asegúralo: crea un usuario sin privilegios de root con sudo, cambia a la autenticación con clave SSH, desactiva el inicio de sesión como root y por contraseña, activa un cortafuegos (UFW) y habilita las actualizaciones de seguridad automáticas. Tras eso, instala lo que necesite tu proyecto: un servidor web, un entorno de ejecución o una base de datos.
¿Es bueno el hosting VPS para principiantes?
Puede serlo, pero espera una curva de aprendizaje. Un VPS te da control total y ninguna ayuda de la mano, así que eres responsable de la seguridad y el mantenimiento. Los principiantes que quieren el control sin el trabajo de administración pueden elegir un plan de VPS gestionado, donde el proveedor se encarga del parcheo y el blindaje a un precio más alto.
¿Cuánta RAM necesito para un VPS?
Depende de la carga de trabajo. Un sitio estático o un blog pequeño funcionan cómodamente con 1 GB; una sola aplicación dinámica con una base de datos pide alrededor de 4 GB; varios sitios o una aplicación con mucho movimiento piden de 8 a 16 GB. Empieza con poco —casi todos los proveedores te permiten redimensionar más tarde— y escala solo cuando la monitorización muestre que vas justo.
¿Cuánto cuesta el hosting VPS?
Los planes de entrada empiezan en torno a los $4–$6 al mes. A mediados de 2026, el Basic Droplet más barato de DigitalOcean cuesta $4/mo (1 vCPU, 512 MiB de RAM), mientras que el CX23 optimizado en costes de Hetzner ronda los €3.99/mo por 2 vCPU y 4 GB de RAM con 20 TB de transferencia incluida. Vigila la asignación de ancho de banda con la misma atención que el precio base.
¿Es un VPS más seguro que una VPN?
Resuelven problemas distintos, así que la comparación no se sostiene del todo. Una VPN cifra y enruta tu tráfico de internet por privacidad; un VPS es un servidor que alquilas para alojar un sitio web o una aplicación. Un VPS no es «seguro» por defecto: es solo tan seguro como tú lo hagas con los pasos de blindaje de más arriba. (Si estás sopesando modelos de seguridad de red, consulta zero trust frente a VPN en 2026.)
Sources
- DigitalOcean — Precios de Droplets: planes oficiales de Basic Droplet, RAM y transferencia incluida (junio de 2026).
- Better Stack — Hetzner Cloud Review 2026: especificaciones y precios fechados de los planes Hetzner CX23/CPX22 (marzo de 2026).
- InMotion Hosting — How to Set Up a VPS Server (2026): referencia para la secuencia estándar de configuración de los primeros pasos.
- Krystal — Beginner's guide to setting up a VPS: referencia para la selección del plan y los pasos básicos de blindaje.
- PuTTY: el cliente SSH habitual para usuarios de Windows.
Waqas Ahmed Waseer
Waqas Ahmed Waseer es desarrollador y creador de automatizaciones con más de 8 años construyendo sistemas en producción que usan más de 100.000 personas. Crea SaaS multiinquilino a medida, automatización con IA (n8n, flujos LLM, bots de WhatsApp) e infraestructura de hosting (WHM/cPanel, CloudLinux), y es el creador de WaSphere, FlowMaticX y la marca de hosting WaseerHost. Más de 100 proyectos entregados para pymes, agencias y startups financiadas.
