Ya conoces el mensaje sobre DMARC. Has publicado el registro, estás avanzando hacia p=reject y tu correo se autentica correctamente. Estás por delante del 91% de los dominios en internet.
Pero esto es lo que ninguna lista de verificación de cumplimiento te dice: la autenticación demuestra que tu correo es legítimo — pero no hace nada para que esa legitimidad sea visible para la persona que mira su bandeja de entrada.
Esa brecha entre la autenticación técnica y la confianza humana es exactamente lo que BIMI fue diseñado para cerrar. Y en 2026, con campañas de phishing impulsadas por IA disparándose a niveles impensables hace dos años, cerrar esa brecha se ha convertido en un imperativo estratégico — no en algo opcional.
Las Cifras de Amenazas Son Alarmantes
La telemetría de seguridad de Microsoft registró 8.300 millones de amenazas de phishing por correo solo en el primer trimestre de 2026. Las campañas de phishing con inteligencia artificial — con textos indistinguibles de comunicaciones ejecutivas legítimas, facturas de proveedores y alertas de soporte técnico — crecieron un 204% interanual. Se detectó un correo malicioso cada 19 segundos.
El peligro no es solo el volumen. Es la calidad. En 2024, podías identificar un correo de phishing por su redacción torpe o su saludo genérico. En 2026, el phishing generado por IA supera cualquier verificación gramatical y suele imitar exactamente el tono del remitente que suplanta. La única señal fiable que le queda a un destinatario es la identidad del remitente en sí — y eso es precisamente lo que los indicadores de marca hacen confiable de un vistazo.
Los kits de Phishing-as-a-Service (PhaaS) — infraestructura de ataque prefabricada que cualquier actor con pocas habilidades puede alquilar — impulsan ahora el 90% de las campañas de phishing de alto volumen. Si tu dominio es reconocible, es un objetivo. Si tu política DMARC sigue en p=none, la identidad de tu marca es efectivamente un recurso abierto para cualquier operador de PhaaS que quiera suplantarte.
¿Qué es BIMI?
BIMI son las siglas de Brand Indicators for Message Identification (Indicadores de Marca para la Identificación de Mensajes). Es un estándar publicado en DNS que instruye a los proveedores de buzones de correo para que muestren el logotipo oficial de tu marca directamente dentro de la bandeja de entrada — junto al nombre del remitente, antes de que el destinatario abra el mensaje.
Piensa en ello como una insignia verificada para tu identidad de correo electrónico. Cuando un buzón compatible con BIMI (Gmail, Yahoo, Apple Mail, Fastmail) recibe tu mensaje autenticado, obtiene el logotipo que has publicado en DNS y lo muestra en la posición del avatar del remitente. Tus clientes ven tu logotipo. Cada correo que envías lleva una señal de confianza visual que los atacantes no pueden replicar — porque BIMI requiere pasar DMARC a nivel de aplicación para activarse.
El requisito es intencional: BIMI solo funciona si tu dominio tiene p=quarantine o p=reject. Un remitente malicioso no puede falsificar un logotipo que requiere prueba de propiedad del dominio para activarse. El logotipo es la autenticación hecha visible.
¿Quién Admite BIMI Hoy?
La compatibilidad de los proveedores se ha ampliado significativamente. A partir de 2026, la visualización del logotipo BIMI está activa en:
- Gmail (requiere un Certificado de Marca Verificada o Certificado de Marca Común para la marca de verificación)
- Yahoo Mail (admite logotipos sin VMC, aunque se recomiendan los certificados)
- Apple Mail (iOS 16+ y macOS Ventura+)
- Fastmail
- AOL
Una advertencia importante: Microsoft Outlook, Hotmail y Office 365 aún no admiten BIMI. Microsoft no ha publicado una hoja de ruta a corto plazo para su adopción. Para remitentes cuya lista se inclina fuertemente hacia direcciones de Outlook de consumidor, esto limita el alcance inmediato de BIMI — pero Gmail y Yahoo juntos representan la mayoría de las bandejas de entrada de consumidores a nivel mundial, y Apple Mail es el cliente móvil dominante en muchos mercados.
Los Dos Tipos de Certificados
Cuando Gmail muestra un logotipo BIMI, requiere uno de dos tipos de certificados para mostrar la marca de verificación azul verificada:
VMC (Certificado de Marca Verificada): El tipo de certificado BIMI original. Requiere que el diseño de tu logotipo sea una marca registrada en la jurisdicción correspondiente. Emitido por un pequeño número de autoridades de certificación (DigiCert, Entrust). Los costes suelen oscilar entre 1.000 y 1.500 dólares anuales.
CMC (Certificado de Marca Común): La opción más nueva y accesible. No requiere marca registrada. Diseñado para poner BIMI al alcance de organizaciones que utilizan logotipos sin registro formal de marca. Los CMC siguen el mismo proceso técnico que los VMC y proporcionan una visualización equivalente en la bandeja de entrada.
Para las organizaciones que ya tienen marcas registradas, el VMC es la opción natural. Para todos los demás — incluidas la mayoría de las PYMES, startups y organizaciones sin ánimo de lucro — el CMC elimina la mayor barrera para la adopción de BIMI.
Por Qué Solo el 9% de los Dominios Elegibles Tienen BIMI
Un análisis de Validity sobre 13.000 dominios encontró que el 90,85% no tenía ningún registro BIMI. La mayoría de los destinatarios en bandejas de entrada compatibles con BIMI ven un círculo gris con una inicial en lugar del logotipo de una marca reconocible — incluso cuando el remitente es un cliente fiel.
Las razones de la baja adopción coinciden con las razones de la baja aplicación de DMARC: los requisitos previos parecen complejos, los pasos técnicos son desconocidos y el caso de negocio no siempre es evidente para los equipos centrados en métricas de entregabilidad puras.
Pero la lógica empresarial se está volviendo más clara. Estudios de Validity y Litmus muestran que los correos que muestran logotipos de marca en la bandeja de entrada reciben entre un 10 y un 30% más de tasas de apertura en comparación con los mismos mensajes sin visualización del logotipo. Para una lista de 100.000 suscriptores con una tasa de apertura del 25%, un aumento del 20% en las aperturas supone 5.000 lecturas adicionales comprometidas — por envío, cada vez.
El Camino de Implementación de BIMI
BIMI no es un interruptor único. Es el último kilómetro de un viaje de autenticación de múltiples pasos. Esta es la secuencia:
Paso 1 — DMARC en nivel de aplicación. Tu dominio debe tener p=quarantine o p=reject. BIMI no se activará con una política p=none. Si aún no estás ahí, este es tu punto de partida.
Paso 2 — SPF y DKIM alineados. Todos los flujos de correo legítimos deben autenticarse y alinearse. BIMI requiere autenticación aprobada de forma consistente — los pases DMARC esporádicos no son suficientes para la visualización del logotipo.
Paso 3 — Crear un logotipo SVG. BIMI requiere tu logotipo en un formato SVG específico: un archivo SVG Tiny 1.2 de proporción cuadrada con fondo sólido. La mayoría de los archivos SVG existentes necesitan ajustes menores para cumplir las especificaciones.
Paso 4 — Alojar el SVG en una URL HTTPS pública. El archivo debe ser accesible a través de HTTPS en una URL estable y permanente en tu dominio.
Paso 5 — Publicar el registro DNS de BIMI. Añade un registro TXT en default._bimi.tudominio.com apuntando a la ubicación de tu SVG y opcionalmente a tu certificado VMC o CMC.
Paso 6 — Obtener un certificado (para la visualización verificada en Gmail). Para la marca de verificación completa en Gmail, obtén un VMC o CMC de una autoridad certificadora participante.
El esfuerzo técnico es modesto — normalmente unas pocas horas de trabajo repartidas entre DNS, diseño y adquisición de certificados. El mantenimiento continuo es mínimo una vez que el registro está activo.
BIMI como Señal de Entregabilidad
Más allá de la confianza de marca visible, BIMI conlleva un beneficio secundario que importa a los especialistas en email marketing: señala a los proveedores de buzones que tu dominio de envío es maduro, bien gestionado y comprometido con las mejores prácticas de autenticación.
La colocación en la bandeja de entrada está impulsada por una combinación de señales de autenticación, historial de interacción y reputación del remitente. Los dominios que han invertido en la pila de autenticación completa — SPF, DKIM, DMARC en nivel de aplicación y BIMI — superan consistentemente a los dominios que se detienen en el mínimo de cumplimiento. La inversión en BIMI es simultáneamente una inversión en las señales de reputación que impulsan la colocación en la bandeja de entrada a lo largo del tiempo.
La Ventana de Ventaja Competitiva Aún Está Abierta
Con menos del 10% de los dominios elegibles habiendo publicado un registro BIMI, los primeros en adoptar obtienen una diferenciación visible que es difícil de replicar rápidamente. Tu logotipo en la bandeja de entrada antes que el de un competidor es — literalmente — la primera impresión que tu marca causa en el correo electrónico.
A medida que el phishing generado por IA inunda las bandejas de entrada con falsificaciones elaboradas de forma convincente, los destinatarios dependerán cada vez más de las señales de identidad visual para decidir qué es seguro abrir. Los remitentes que hayan establecido esas señales de confianza visual con antelación tendrán una ventaja de confianza significativa a medida que el entorno de amenazas se intensifique.
¿Listo para implementar BIMI y llevar tu autenticación de correo al siguiente nivel? Excello Mail te guía desde p=reject hasta la configuración de BIMI — incluyendo preparación de SVG, publicación en DNS y orientación sobre certificados — en un flujo de trabajo gestionado. Empieza tu prueba gratuita en excello.email →