BIMI: El “súperprotocolo” de autenticación para el email

Seguro que ya has visto emails de marcas que llegan a tu bandeja de entrada con su logo correspondiente. De hecho, una de las tendencias del email para este 2023 tiene que ver con el aumento de la concienciación sobre la seguridad del email, tanto en remitentes como destinatarios.

Así que, veamos qué es y para qué sirve, cuáles son las ventajas de adoptarlo ahora y qué te hace falta, además de una sencilla lista de pasos a seguir para implementarlo con éxito.

Aquí empieza tu camino hacia BIMI.

Un momento, ¿pero el bimi no es un primo del brócoli? Sí, pero aquí no estamos hablando de ese bimi.

BIMI (de sus siglas en inglés Brand Indicators for Message Identification; o Indicadores de marca para la identificación de mensajes, en español) es una especificación para email que empezó a desarrollarse en 2015, con el establecimiento del grupo de trabajo AuthIndicators.

Cuando BIMI se implementa correctamente, los destinatarios podrán ver los logotipos de las marcas remitentes en su bandeja de entrada y en sus mensajes. Por el momento, eso sí, esto ocurre únicamente en los clientes de email que soportan esta especificación.

Aquí puedes ver un ejemplo de las diferencias entre el antes y el después:

¿Y por qué está relacionado con autenticar el email? Lo explicamos en más detalle en el epígrafe de cuestiones técnicas, pero la versión breve es que para implementar BIMI necesitas también tener el protocolo DMARC correctamente implementado. De hecho, uno de los motivos que impulsó el nacimiento de BIMI fue el ofrecer una “recompensa” a aquellas empresas que estaban haciendo el esfuerzo de aplicar DMARC correctamente.

Si eres un profesional del email marketing, debes saber que existen una serie de beneficios asociados a BIMI que pueden interesarle a tu empresa:

A medida que nos acostumbramos a ver logos de marcas en los emails, aumentará nuestra desconfianza hacia aquellos emails que no los tengan. Además, es mucho más fácil ver y reconocer un logo que tener que ir al encabezado del email, a comprobar si el dominio de envío es el auténtico.

Cuando un cliente es víctima de un intento de estafa, es lógico que se frustre y culpe, en parte, a la marca que está siendo suplantada. No es que la marca sea la responsable del intento de phishing, pero algo hay que no está haciendo bien si sus comunicaciones pueden ser suplantadas fácilmente.

BIMI hace esa suplantación de identidad un poco más difícil, añadiendo un paso extra.

Si tu logo aparece en la bandeja de entrada de tus suscriptores, estás haciendo que más personas lo vean y que se fije mejor en sus memorias. Además, en un mercado como el español, donde solo un 1,03 % de las empresas ha empezado a adoptar BIMI, destacarás seguro entre tus competidores.

Por todos los motivos que hemos indicado anteriormente, el hecho de tener tu logo en tus emails hace mucho más probable que los destinatarios interactúen con ellos. Tus suscriptores confiarán en que se trata de un email legítimo, lo que ayudará a mejorar tus métricas.

Además, si no lo habías hecho antes, para implementar BIMI tendrás que poner a punto DMARC, algo que también ayudará con tu reputación como remitente.

Si la lista de beneficios anterior te ha convencido de que BIMI es interesante para tu empresa, aquí tienes algunas cosas más que tendrás que conocer en tu ruta hacia el codiciado BIMI.

Como hemos mencionado antes, BIMI está fuertemente ligado a DMARC (del inglés, Domain-based Message Authentication and Conformance), y uno de sus orígenes fue tratar de motivar a las empresas a implementar una autenticación de emails más robusta.

Por ejemplo, aunque DMARC lleva años siendo la forma más segura de luchar contra cuestiones como la suplantación de marca, muchos remitentes tienen políticas DMARC demasiado laxas. De acuerdo con BIMI Radar, en España casi el 75 % de las empresas se encuentran desprotegidas.

Para entender los distintos niveles de protección, hay que tener en cuenta que existen tres opciones para las políticas de DMARC:

1. p=none: No realiza cambios sobre los ajustes y deja en manos de los proveedores de correo la decisión sobre cómo filtrar los mensajes que fallen DMARC.
2. p=quarantine: Esta opción indica a los proveedores que deben enviar los mensajes que fallen DMARC a la bandeja de correos no deseados.
3. p=reject: Esta es la opción más estricta de todas. Le indica a los proveedores que bloqueen los emails que fallen DMARC.

No tener DMARC o tenerlo configurado como p=none significa que tu marca es vulnerable a sufrir ataques de suplantación de marca (o spoofing). Por eso, se requiere una política de p=quarantine o p=reject para implementar BIMI. Es una especie de quid pro quo de los ESP: “Tú nos facilitas la tarea de hacer más seguras nuestras bandejas de entrada para nuestros clientes, nosotros hacemos que tus clientes vean tu logo y sepan que tus correos son legítimos”.

Actualmente hay muchos clientes de correo electrónico, tanto a nivel global como a nivel local, que son compatibles con el uso de BIMI. Algunos ejemplos son:

• Gmail
• Yahoo Mail
• AOL
• FastMail
• Apple Mail

Existen dos ausencias notables, Microsoft Outlook y Hotmail. Aunque se espera que se inclinen por adoptarlo, no ha habido todavía una comunicación oficial por su parte que lo confirme o indique plazos estimados.

BIMI sufrió un impulso con la adhesión de Gmail en 2021, pero también se añadieron nuevos requisitos. En concreto, uno de los que genera más dolores de cabeza, el VMC.

El VMC (Verified Mark Certificate) es un certificado digital que emite una agencia de certificación para verificar que el logotipo que quieres usar verdaderamente es de tu propiedad. Para poder verificarlo, el logotipo de tu marca debe estar primero registrado como tal en una oficina de propiedad intelectual.

Este certificado está destinado a incrementar la seguridad del sistema (en principio evita que posibles agentes maliciosos utilicen tu logotipo para suplantarte), pero también incrementa el coste del proceso. Y, aunque no es obligatorio tener un VMC para configurar BIMI, algunos clientes de correo, como Gmail y Apple Mail, lo requieren para mostrar el logo en sus bandejas de entrada.

Además de tener en cuenta el VMC para tu logotipo BIMI, existe la cuestión técnica del tipo de archivo que hace falta para poder subirlo al servidor DNS.

En este caso, se requiere que el archivo esté en formato SVG Tiny 1.2, que se considera un formato seguro.

También tendrás que asegurarte que el logotipo se ve bien en las distintas bandejas de entrada.

Ahora que conoces las ventajas y algunas cuestiones técnicas, vamos a compartir una serie de pasos básicos para ayudarte a implementar BIMI. Recuerda que siempre puedes solicitar ayuda a un experto o a tu departamento de informática para que te ayuden. En cualquier caso, Email on Acid tiene una guía aun más detallada para implementar BIMI (en inglés).

Estos son los siete pasos básicos:

1. Identifica tu dominio de envío: Será donde subas el registro de texto BIMI al servidor DNS.
   1. Consulta con tu departamento de seguridad o informática si es necesario.
2. Verifica tus protocolos de autenticación de email: Deben estar configurados y funcionando.
   1. Necesitarás DKIM (DomainKeys Identified Mail), SPF (Sender Policy Framework) o ambos (ambos es la mejor opción).
3. Configura DMARC a p=quarantine o a p=reject: No sirve si está en p=none.
   1. Ten en cuenta que se requieren algunos ajustes extra en el registro DMARC.
4. Crea un logo BIMI como un archivo SVG: Será el archivo que se suba al servidor DNS.
   1. Recuerda usar el formato de archivo SVG Tiny 1.2, que es el considerado seguro.
5. Obtén el VMC para el logo: Debe proceder de una agencia de acreditación.
   1. Dos ejemplos de agencias son DigiCert y Entrust.
6. Publica el registro BIMI: En el servidor DNS, junto con el resto de registros DNS.
   1. No te olvides de comprobar que la ubicación del archivo del logo es la correcta.
7. Verifica que BIMI está funcionando correctamente: Haz pruebas para comprobar que tu logo se ve correctamente.
   1. Puedes utilizar esta herramienta gratuita de BIMIGroup.org para analizar tu dominio y sus registros TXT.
   2. Recuerda: puede que transcurran un par de semanas hasta que se muestre correctamente en todas las bandejas de entrada.

¡Enhorabuena! Has llegado al final del viaje y, por el camino, has mejorado tanto tu seguridad como tu entregabilidad. ¿Acaso hay mejor recompensa que la satisfacción de un trabajo bien hecho? Bueno, sí, que los indicadores de tus emails mejoren y, si has alcanzado este paso, eso está a punto de ocurrir.

Puede que haya algo de lo anterior que te haga dudar de si BIMI es la mejor solución para ti. Lo entendemos perfectamente. Implementar BIMI es una tarea que requiere de una inversión de tiempo, esfuerzo y dinero, así como de la colaboración de varias personas o departamentos dentro de la empresa. Así que es posible que no sea lo más adecuado en este momento.

Eso sí, nuestra recomendación es que, al menos, des los pasos para configurar correctamente todos los protocolos de autenticación (DKIM, SPF, DMARC). Solo con cubrir los tres primeros de la guía básica anterior ya reforzarás tu marca, mejorarás tu entregabilidad y lo tendrás todo listo para dar el salto a BIMI en el futuro si tus condiciones cambian.

Y si quieres estar al día de las mejores prácticas para email marketing y conocer más a fondo conceptos que pueden afectar a tu entregabilidad, como las políticas de extinción del email o las direcciones no-reply, suscríbete a nuestra newsletter. Recibirás las últimas noticias de forma regular en tu bandeja de entrada.

Autor: Daniel Collado Sanz Gestor de proyectos en localización y contenidos en español en Sinch Mailjet