Si alguna vez te has preguntado cómo aparece el logo de una marca grande junto al remitente en tu inboxy de Gmail u Outlook, la respuesta es BIMI. Es el estándar que convierte la autenticación técnica de correos en una experiencia visual de confianza. Sin embargo, a pesar de sus ventajas claras, menos del 1% de los dominios en el top-1M lo ha implementado. En esta guía explicamos qué es, qué requisitos tiene y por qué la adopción real sigue siendo tan baja en España, Latinoamérica y el resto del mundo.
¿Qué es BIMI y por qué importa?
BIMI (Brand Indicators for Message Identification) es un estándar abierto definido en la RFC 9591 que permite a los remitentes autenticados mostrar un logo o indicador de marca en el inboxy de los destinatarios. Es el cierre visual de todo el trabajo de autenticación técnica: si tu dominio cumple ciertos requisitos de seguridad, los proveedores de correo (Gmail, Outlook, Yahoo, etc.) pueden mostrar tu marca de forma única junto a cada correo que envíes.
El objetivo no es solo estético. BIMI reduce significativamente la suplantación de identidad: si un usuario ve tu logo junto al correo, es mucho menos probable que caiga en phishing que intente usar tu dominio. Además, los correos con logo tienden a generar más confianza percibida y mejores métricas de engagement (apertura, conversión).
Requisitos técnicos: la cadena de cumplimiento
Aquí está el punto crítico: BIMI no es solo una configuración de DNS. Es la culminación de una cadena de requisitos cada vez más exigentes, y cada eslabón es no negociable.
- SPF y DKIM válidos: tu dominio debe tener registros SPF correctamente configurados y firmas DKIM en todos los correos salientes. Este es el cimiento de cualquier autenticación moderna.
- DMARC en modo enforce: aquí está la trampa real. No basta con un DMARC que permita (p=none); debe estar en
p=rejectop=quarantine. Esto significa que rechazas o pones en cuarentena los correos que fallan la autenticación. Muchas empresas temen activar este modo y nunca llegan a BIMI. - VMC (Verified Mark Certificate): necesitas un certificado digital que valide la propiedad de tu marca. Lo emite una Autoridad de Certificación acreditada (como Entrust, DigiCert o GlobalSign) y cuesta entre 200 y 2.500 EUR al año según la CA y el nivel de validación. Sin este certificado, BIMI no funciona bajo ninguna circunstancia.
- Registro BIMI en DNS: una vez tienes todo lo anterior, añades un registro TXT en DNS con la URL del logo (en formato SVG) y la URL del certificado VMC.
p=none indefinidamente para recopilar datos de alineación antes de rechazar correos legítimos. El problema: con p=none, BIMI nunca se activará, por mucho que tengas VMC y logo perfecto. Si quieres implementar BIMI, debes estar seguro de que todos tus canales legítimos de correo (transaccional, facturas, alertas, marketing, soporte) están SPF/DKIM autenticados. Solo entonces puedes pasar a p=reject o p=quarantine.Beneficios de implementar BIMI
Implementar BIMI requiere inversión y coordinación técnica, pero los beneficios son tangibles y escalables:
- Confianza visual del destinatario: un logo junto al remitente es un indicador instantáneo de legitimidad. Los usuarios lo reconocen como una señal de autenticidad y diferencia tu correo de intentos de phishing.
- Reducción de suplantación: si alguien intenta clonar tu dominio, el logo BIMI no aparecerá en el inboxy del atacante sin el certificado VMC. El destinatario verá la diferencia inmediatamente.
- Refuerzo de branding: cada correo es un recordatorio visual de tu marca. En campañas masivas, esto puede mejorar tasas de apertura, conversión y fidelización.
- Diferenciación competitiva: en sectores regulados (banca, seguros, farmacias, e-commerce) muy pocas marcas tienen BIMI implementado. Hacerlo te destaca como líder en seguridad.
Estado real de adopción: datos del top-1M
La realidad es humilde: la adopción de BIMI sigue siendo marginal globalmente. Según análisis de dominios en el top-1M de Tranco, menos del 1% tiene registros BIMI configurados. Las excepciones son marcas globales de primer nivel (Google, Amazon, Apple, Microsoft) y algunas instituciones financieras en EE.UU. y Europa.
En España y Latinoamérica, la adopción es significativamente más baja aún. Las causas principales son claras:
- Coste del certificado VMC: requiere inversión anual en un certificado que no todos ven como rentable, especialmente en PYMEs.
- Miedo a DMARC enforce: las organizaciones temen rechazar correos legítimos si activan
p=reject, así que se quedan indefinidamente enp=none. - Falta de presión del mercado: a diferencia de certificados SSL (que generan advertencias en navegadores), BIMI solo es un logo. Sin él, nada falla técnicamente.
- Soporte limitado de clientes: no todos los proveedores de correo muestran BIMI. Yahoo lo soporta completamente. Gmail lo soporta en interfaz web (no en móvil). Outlook/Hotmail sigue siendo parcial e inconsistente.
Sin embargo, si consultas nuestros datos de adopción de protocolos de correo, puedes ver que el crecimiento es constante, especialmente en grandes corporaciones que priorizan seguridad de marca y compliance.
Cómo implementar BIMI: pasos concretos
Si tu organización decide implementar BIMI, el proceso es claro pero requiere coordinación entre equipos de seguridad, infraestructura y legal.
- Asegurar DMARC en modo enforce: verifica exhaustivamente que todos tus canales de correo legítimos (transaccional, marketing, alertas, notificaciones) tengan SPF/DKIM válidos. Solo entonces pasa DMARC a
p=rejectop=quarantine. - Obtener el certificado VMC: contacta con una CA acreditada (Entrust, DigiCert, GlobalSign). Tendrás que validar la propiedad legal de tu marca, lo que puede incluir documentos de registro de marca registrada. El proceso tarda 1–2 semanas típicamente.
- Preparar el logo SVG: diseña o adapta tu logo en formato SVG, máximo 800×800 píxeles. Debe ser simple, legible a pequeño tamaño y reconocible. Alójalo en HTTPS en tu servidor web con acceso público.
- Crear el registro DNS BIMI: añade el registro TXT en
default._bimi.tudominio.comcon las URLs del logo SVG y del certificado VMC en formato PEM. - Validar y monitorear: usa herramientas de test de colocación para verificar que BIMI se activa correctamente en Gmail, Yahoo y otros proveedores. Monitorea la mostración del logo en el tiempo.
Perspectiva: ¿es BIMI el futuro?
BIMI no es una tendencia pasajera, pero tampoco es una prioridad inmediata para la mayoría de dominios. Su éxito futuro depende de dos factores críticos: la adopción amplia de proveedores de correo (especialmente en clientes móviles) y la presión normativa o de mercado.
Por ahora, BIMI es un diferenciador de primer nivel si tu marca es reconocida globalmente, operates en sectores altamente regulados (banca, seguros, farmacias) o quieres destacar en seguridad de correo. Para el resto, es un objetivo a mediano o largo plazo, no urgente. Sin embargo, implementarlo ahora posiciona a tu organización como líder en autenticación y protección de marca.
¿Puedo implementar BIMI sin un certificado VMC?
¿Qué sucede si mi DMARC está en p=none y no en enforce?
p=reject o p=quarantine). Es una decisión deliberada de seguridad: evitar que dominios débiles en autenticación muestren logos y engañen a usuarios finales.