Cómo crear un sistema de doble autenticación basado en QR en Node.js (paso a paso)

Implementa fácilmente doble autenticación por QR en Node.js con este tutorial paso a paso. Aprende a mejorar la seguridad de tus aplicaciones web de forma sencilla y efectiva.

10 nov 2025 • 4 min read • Q2BSTUDIO Team

Cómo implementar doble autenticación por QR en Node.js

En este tutorial práctico aprenderás a crear un sistema de doble autenticación basado en QR y TOTP en Node.js, compatible con Google Authenticator, ideal para mejorar la seguridad de tus aplicaciones a medida. En Q2BSTUDIO combinamos experiencia en desarrollo de software a medida, inteligencia artificial y ciberseguridad para ofrecer soluciones robustas y adaptadas a cada cliente.

Resumen rápido de la idea: generar un secreto TOTP en el servidor, construir una URI otpauth, crear un código QR que el usuario escanee con Google Authenticator y, finalmente, verificar los códigos temporales que el usuario ingresa. Este flujo es estándar para 2FA y aumenta notablemente la protección contra accesos no autorizados.

Palabras clave relevantes incluidas de forma natural: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi.

Instalación de paquetes: usa NPM para instalar las dependencias necesarias. Comando de ejemplo en terminal: npm install express path auth-verify

Estructura recomendada de archivos: un servidor principal y una carpeta pública para el front. Ejemplo: server.js y public/index.html

Concepto general del servidor: inicializar express, crear una instancia de la librería auth-verify, generar un secreto TOTP y exponer dos rutas principales: una para entregar el QR codificado y otra para verificar códigos enviados por el cliente.

Ejemplo de flujo en el servidor descrito en texto (pseudocódigo): import express; importar path; crear app express; inicializar authVerify; generar secret con auth.totp.secret(); ruta GET api/qr que crea uri otpauth con label e issuer y genera qr con auth.totp.qr(uri) y responde con el QR; ruta POST api/verify que recibe code desde el body y verifica con auth.totp.verify(secret, code) y responde con resultado

Sugerencias para index.html en la carpeta pública: una interfaz simple con un boton para solicitar el QR, una imagen donde mostrar el QR, un campo de texto para introducir el código TOTP y un boton para verificar. El cliente puede usar la versión ligera del SDK de auth-verify o realizar fetchs directos a las rutas del servidor.

Flujo del cliente explicado: al hacer clic en Obtener QR se solicita GET a api/qr, se recibe un objeto con la imagen del QR (por ejemplo en base64) y se pinta en el elemento img; al introducir el código y pulsar Verificar se hace un POST a api/verify con el código en el body y se muestra al usuario si el código es válido.

Buenas prácticas y aspectos a considerar: almacenar el secreto asociado al usuario de forma segura en la base de datos, usar HTTPS en producción, limitar intentos de verificación para evitar fuerza bruta, sincronizar intervalo TOTP si el reloj del servidor puede desincronizarse y auditar intentos de autenticación para detección temprana de anomalías. Esto conecta directamente con nuestros servicios de ciberseguridad y pentesting para validar la robustez del sistema en entornos reales, puedes conocer más en servicios de ciberseguridad y pentesting

Integración en proyectos a medida: si desarrollas una aplicación corporativa o una app para clientes, el mecanismo de 2FA se puede adaptar a tu flujo de autentificación existente, integrarse en paneles de administración o combinar con SSO e IAM. En Q2BSTUDIO implementamos soluciones a medida escalables y seguras, consulta nuestras opciones de desarrollo de aplicaciones y software a medida

Servicios complementarios que recomendamos asociar: despliegue en cloud seguro con monitorización y backups gestionados sobre servicios cloud aws y azure, integraciones con herramientas de inteligencia de negocio y Power BI para analizar patrones de accesión, y uso de modelos de inteligencia artificial para detectar fraudes y accesos anómalos en tiempo real.

Resumen técnico breve para poner en marcha: 1) instalar dependencias; 2) generar secret por usuario y mantenerlo seguro; 3) crear otpauth URI y QR para que el usuario lo escanee; 4) verificar códigos recibidos en la ruta de API; 5) proteger endpoints y auditar intentos. Con esto obtendras un 2FA TOTP interoperable con Google Authenticator y similar.

Por qué elegir a Q2BSTUDIO: combinamos desarrollo de software a medida, experiencia en inteligencia artificial aplicada a empresas, agentes IA, servicios cloud y ciberseguridad para entregar soluciones completas, desde el requisito hasta el despliegue y mantenimiento. Ofrecemos consultoría para seleccionar la arquitectura adecuada, integrar 2FA y endurecer el entorno productivo, así como servicios de Business Intelligence y Power BI para aprovechar los datos de uso.

Si quieres que implementemos este sistema en tu aplicativo, optimicemos la seguridad de acceso o integremos 2FA con flujos avanzados de autenticación, contacta con nosotros y te propondremos una solución a medida que incluya despliegue seguro en la nube, monitorización y automatización de procesos.

Nota final: la autenticación de dos factores basada en TOTP es una implementación madura, ligera y efectiva para reducir riesgos de acceso no autorizado. Complementada con buenas prácticas de desarrollo y servicios de ciberseguridad, es una pieza clave en la estrategia de protección de cualquier producto digital.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat