Cómo crear un sistema de doble autenticación basado en QR en Node.js (paso a paso)

Implementa fácilmente doble autenticación por QR en Node.js con este tutorial paso a paso. Aprende a mejorar la seguridad de tus aplicaciones web de forma sencilla y efectiva.

10 nov 2025 • 4 min de lectura • Equip Q2BSTUDIO

Cómo implementar doble autenticación por QR en Node.js

En este tutorial práctico aprenderás a crear un sistema de doble autenticación basado en QR y TOTP en Node.js, compatible con Google Authenticator, ideal para mejorar la seguridad de tus aplicaciones a medida. En Q2BSTUDIO combinamos experiencia en desarrollo de software a medida, inteligencia artificial y ciberseguridad para ofrecer soluciones robustas y adaptadas a cada cliente.

Resumen rápido de la idea: generar un secreto TOTP en el servidor, construir una URI otpauth, crear un código QR que el usuario escanee con Google Authenticator y, finalmente, verificar los códigos temporales que el usuario ingresa. Este flujo es estándar para 2FA y aumenta notablemente la protección contra accesos no autorizados.

Palabras clave relevantes incluidas de forma natural: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi.

Instalación de paquetes: usa NPM para instalar las dependencias necesarias. Comando de ejemplo en terminal: npm install express path auth-verify

Estructura recomendada de archivos: un servidor principal y una carpeta pública para el front. Ejemplo: server.js y public/index.html

Concepto general del servidor: inicializar express, crear una instancia de la librería auth-verify, generar un secreto TOTP y exponer dos rutas principales: una para entregar el QR codificado y otra para verificar códigos enviados por el cliente.

Ejemplo de flujo en el servidor descrito en texto (pseudocódigo): import express; importar path; crear app express; inicializar authVerify; generar secret con auth.totp.secret(); ruta GET api/qr que crea uri otpauth con label e issuer y genera qr con auth.totp.qr(uri) y responde con el QR; ruta POST api/verify que recibe code desde el body y verifica con auth.totp.verify(secret, code) y responde con resultado

Sugerencias para index.html en la carpeta pública: una interfaz simple con un boton para solicitar el QR, una imagen donde mostrar el QR, un campo de texto para introducir el código TOTP y un boton para verificar. El cliente puede usar la versión ligera del SDK de auth-verify o realizar fetchs directos a las rutas del servidor.

Flujo del cliente explicado: al hacer clic en Obtener QR se solicita GET a api/qr, se recibe un objeto con la imagen del QR (por ejemplo en base64) y se pinta en el elemento img; al introducir el código y pulsar Verificar se hace un POST a api/verify con el código en el body y se muestra al usuario si el código es válido.

Buenas prácticas y aspectos a considerar: almacenar el secreto asociado al usuario de forma segura en la base de datos, usar HTTPS en producción, limitar intentos de verificación para evitar fuerza bruta, sincronizar intervalo TOTP si el reloj del servidor puede desincronizarse y auditar intentos de autenticación para detección temprana de anomalías. Esto conecta directamente con nuestros servicios de ciberseguridad y pentesting para validar la robustez del sistema en entornos reales, puedes conocer más en servicios de ciberseguridad y pentesting

Integración en proyectos a medida: si desarrollas una aplicación corporativa o una app para clientes, el mecanismo de 2FA se puede adaptar a tu flujo de autentificación existente, integrarse en paneles de administración o combinar con SSO e IAM. En Q2BSTUDIO implementamos soluciones a medida escalables y seguras, consulta nuestras opciones de desarrollo de aplicaciones y software a medida

Servicios complementarios que recomendamos asociar: despliegue en cloud seguro con monitorización y backups gestionados sobre servicios cloud aws y azure, integraciones con herramientas de inteligencia de negocio y Power BI para analizar patrones de accesión, y uso de modelos de inteligencia artificial para detectar fraudes y accesos anómalos en tiempo real.

Resumen técnico breve para poner en marcha: 1) instalar dependencias; 2) generar secret por usuario y mantenerlo seguro; 3) crear otpauth URI y QR para que el usuario lo escanee; 4) verificar códigos recibidos en la ruta de API; 5) proteger endpoints y auditar intentos. Con esto obtendras un 2FA TOTP interoperable con Google Authenticator y similar.

Por qué elegir a Q2BSTUDIO: combinamos desarrollo de software a medida, experiencia en inteligencia artificial aplicada a empresas, agentes IA, servicios cloud y ciberseguridad para entregar soluciones completas, desde el requisito hasta el despliegue y mantenimiento. Ofrecemos consultoría para seleccionar la arquitectura adecuada, integrar 2FA y endurecer el entorno productivo, así como servicios de Business Intelligence y Power BI para aprovechar los datos de uso.

Si quieres que implementemos este sistema en tu aplicativo, optimicemos la seguridad de acceso o integremos 2FA con flujos avanzados de autenticación, contacta con nosotros y te propondremos una solución a medida que incluya despliegue seguro en la nube, monitorización y automatización de procesos.

Nota final: la autenticación de dos factores basada en TOTP es una implementación madura, ligera y efectiva para reducir riesgos de acceso no autorizado. Complementada con buenas prácticas de desarrollo y servicios de ciberseguridad, es una pieza clave en la estrategia de protección de cualquier producto digital.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.

Live Chat