BIMI (Brand Indicators for Message Identification) pasó de ser “experimentalidad simpática” en 2020 a “señal de confianza esencial para senders serios” para 2026. La combinación de DMARC al enforcement y display de logo de marca verificado en inboxes convierte el correo de canal anónimo genérico a superficie de marca donde los senders legítimos quedan visualmente diferenciados de los suplantadores. Para marcas españolas e hispanohablantes, el requisito de marca registrada añade consideraciones de EUIPO, OEPM, IMPI, INPI, SIC, INAPI y DIGERPI que las guías centradas en EE.UU. saltan por completo.
Esta es la guía de implementación que cubre la secuencia real: cómo combinar el trabajo de enforcement DMARC con la preparación BIMI para minimizar tiempo total, cómo se ve el proceso de emisión VMC en 2026 (tras los cambios de Apple sobre Entrust en noviembre de 2024), y los truquillos específicos de marcas hispanohablantes.
Qué hace BIMI realmente
BIMI publica un registro TXT en default._bimi.tudominio.com que apunta a dos URLs: un archivo SVG con tu logo y un Verified Mark Certificate (VMC) en archivo PEM que vincula ese logo a tu marca registrada. Los receivers que soportan BIMI (Gmail, Yahoo Mail, Apple Mail, Fastmail, La Poste, GMX) consultan esas URLs cuando reciben un mensaje DMARC-passing desde tu dominio. Si todo valida, muestran el logo junto a tu nombre de remitente en el inbox. Gmail añade además un checkmark azul autenticado si el certificado es VMC (no CMC).
La cadena de confianza:
- DMARC al enforcement protege contra suplantación
- VMC verifica que el logo es tuyo vía marca registrada
- La especificación SVG Tiny PS asegura renderizado seguro (sin ejecución de scripts, sin recursos externos)
El resultado visible: tu logo de marca aparece en el inbox, distinguiendo el correo legítimo de intentos de spoofing con icono genérico. El resultado invisible: los sistemas de reputación del receiver tratan a senders BIMI-validados como de mayor confianza, lo que mejora el placement marginalmente pero de forma consistente.
Prerrequisitos: el trabajo que ya debe estar hecho
BIMI es el último paso, no el primero. Los prerrequisitos:
1. DMARC en p=quarantine o p=reject con pct=100 durante 30+ días
Es requisito duro. BIMI no se muestra cuando DMARC está en p=none. Los proveedores de inbox requieren al menos 30 días consecutivos en enforcement antes de procesar un registro BIMI. La secuencia completa hacia enforcement está cubierta en nuestra guía de DMARC al enforcement; el cronograma típico son 6-8 semanas para implementación limpia.
2. Marca registrada para el logo
Las CAs verifican contra registros de marca. Para marcas españolas e hispanohablantes las autoridades relevantes son:
- EUIPO (Marca de la Unión Europea, válida en los 27 Estados miembros UE)
- OEPM (Oficina Española de Patentes y Marcas, marca nacional España)
- IMPI (Instituto Mexicano de la Propiedad Industrial)
- INPI Argentina (Instituto Nacional de la Propiedad Industrial)
- INPI Brasil (Instituto Nacional da Propriedade Industrial)
- SIC (Superintendencia de Industria y Comercio, Colombia)
- INAPI (Instituto Nacional de Propiedad Industrial, Chile)
- DIGERPI (Dirección General del Registro de la Propiedad Industrial, Panamá)
- UKIPO (UK Intellectual Property Office, Reino Unido post-Brexit)
La marca debe estar registrada (no pendiente), la imagen del logo debe coincidir con la marca registrada, y la entidad titular de la marca debe coincidir con el solicitante del certificado. No vale solo registro denominativo (texto): la marca debe ser figurativa (con elemento gráfico) para BIMI.
3. Archivo de logo conforme a SVG Tiny PS
El subset “Tiny Portable/Secure” de SVG. Restricciones específicas:
- Sin JavaScript
- Sin referencias externas
- viewBox fijo
- Dimensiones fijas
- Tamaño bajo 32 KB
- Ratio 1:1 (cuadrado)
- Fondo no transparente (preferible)
La mayoría de SVGs del equipo de marketing necesitan adaptación por un diseñador que conozca la especificación.
4. Hosting HTTPS para SVG y archivo PEM
Ambos archivos necesitan vivir en URLs estables servidas por HTTPS que los receivers puedan consultar de forma fiable. El uptime importa: si el SVG devuelve 503, BIMI no se muestra.
VMC vs CMC: la decisión que las marcas hispanas suelen perderse
A finales de 2024 se introdujo el Common Mark Certificate (CMC) como alternativa al VMC. La diferencia importa para marcas hispanohablantes que todavía no tienen marca registrada formal.
| Atributo | VMC (Verified Mark Certificate) | CMC (Common Mark Certificate) |
|---|---|---|
| Marca registrada requerida | Sí, en oficina IP reconocida | No: prueba de uso público 12+ meses |
| Coste anual | €749-€1.752 | €650-€1.100 |
| Display Gmail | Sí + checkmark azul autenticado | Sí, sin checkmark |
| Display Yahoo Mail | Sí | Sí |
| Display Apple Mail | Sí | No |
| Display Fastmail/La Poste/GMX | Sí | Sí |
| Tiempo emisión | Meses (incluyendo registro marca) | Semanas |
| Caso ideal hispanohablante | Marca consolidada con EUIPO/OEPM/IMPI activo | Startup o pyme sin registro marca todavía |
Apple no acepta certificados Entrust emitidos a partir del 15 de noviembre de 2024. Si Apple Mail es relevante para tu audiencia, DigiCert es la única opción segura para VMC.
Proceso de emisión VMC en 2026 (España)
Las CAs autorizadas a Q2 2026 son DigiCert, Entrust, Sectigo y GlobalSign. Apple dejó de aceptar Entrust desde el 15 de noviembre de 2024, lo que reduce la elección práctica para marcas con audiencia Apple a tres CAs.
Pasos con DigiCert (camino más común)
-
Solicitud vía portal DigiCert. Aportas datos de organización (CIF español, domicilio, representante legal), número de registro de marca, jurisdicción y archivo SVG.
-
DigiCert verifica la marca contra la base de datos de la oficina relevante. Para EUIPO esto está automatizado; para OEPM puede requerir consulta manual; para IMPI/INPI/SIC/INAPI suele añadir 2-3 semanas extra porque las bases de datos no están integradas internacionalmente con las CAs.
-
DigiCert verifica identidad de la organización. Verificación tipo EV: registro mercantil oficial (Registro Mercantil Central en España), domicilio físico, autoridad firmante. Para empresas españolas con CIF activo y domicilio fiscal en España, el proceso es directo. Para empresas LATAM puede ser más lento.
-
DigiCert verifica que el SVG coincide con la marca. La imagen renderizada por tu SVG debe coincidir con la imagen del registro de marca. Aquí es donde las conversiones SVG Tiny PS a veces fallan: el proceso cambió detalles visuales lo suficiente para que la CA marque la discrepancia.
-
VMC emitido. Archivo PEM entregado, válido por un año, renovable.
Tiempo total: típicamente 1-4 semanas tras el setup de marca. Más rápido si la verificación de marca está automatizada (EUIPO) y la organización ya está verificada para otros productos DigiCert.
Sectigo y GlobalSign
Funcionalmente similares a DigiCert. Sectigo es el más barato del mercado (~€749/año) y emite tanto VMC como CMC. GlobalSign tiene precio intermedio. Para marcas hispanohablantes que necesitan VMC con Apple Mail funcionando, las tres son válidas; para CMC, Sectigo es el más rápido y barato.
Preparación SVG Tiny PS: errores comunes
La especificación SVG Tiny PS es restrictiva. Modos de fallo habituales:
Fallo: referencias a fuentes externas
Los SVG de marketing suelen referenciar web fonts. Tiny PS lo prohíbe. Solución: convertir todo el texto a paths (Objeto → Trazado en Illustrator).
Fallo: elementos script Animaciones, interactividad, cualquier cosa dinámica. Tiny PS lo prohíbe. Solución: aplanar a SVG estático.
Fallo: viewBox ausente o mal formado Tiny PS requiere atributo viewBox. Solución: asegurarse de que está establecido explícitamente.
Fallo: referencias inválidas a filtros o máscaras Algunas features SVG no están en el subset Tiny. Solución: rasterizar efectos complejos a PNG embebido en base64, aceptar pérdida de fidelidad.
Fallo: tamaño de archivo Tiny PS limita el tamaño bajo 32 KB. El techo es generoso pero fácil de exceder con logos de alto detalle. Solución: simplificar paths, reducir puntos de control.
Para la mayoría de equipos de marketing, el camino más rápido es contratar a un especialista SVG (€150-€500 una sola vez) que produzca la versión Tiny PS. Intentar la conversión internamente suele costar más en iteraciones que la tarifa del especialista. PowerDMARC ofrece convertidor SVG online gratuito útil como punto de partida, pero el resultado debe validarse antes de enviarlo a la CA.
Combinar trabajo DMARC y BIMI eficientemente
Si empiezas desde cero (sin DMARC, sin BIMI), la secuencia óptima:
Semanas 1-4: inventario DMARC y progresión a p=quarantine
- Semana 1: inventario de fuentes de envío
- Semanas 2-3: autenticación para fuentes conocidas
- Semana 4: pasar a p=quarantine pct=10, escalar a pct=100
En paralelo semanas 1-6: marca y preparación VMC
- Semana 1: confirmar registro de marca; si no está registrada, iniciar solicitud (delay 6 meses+)
- Semanas 2-3: preparación SVG Tiny PS por especialista
- Semanas 3-4: solicitud VMC enviada a DigiCert/Sectigo/GlobalSign
- Semanas 4-6: emisión VMC (depende del backlog de la CA)
Semana 7: publicación BIMI DNS
- Publicar registro BIMI TXT apuntando a SVG y VMC URLs
- Verificar con la herramienta lookup del BIMI Group
Semana 8: validación y estabilización
- Confirmar que el logo se muestra en Gmail, Yahoo, Apple Mail
- Monitorear regresiones de alineamiento DMARC que tumben BIMI
Si ya tienes DMARC en p=quarantine, puedes saltarte las primeras 4 semanas y empezar directamente con marca/VMC. Tiempo total desde “queremos BIMI” hasta “logo visible en inbox” son 4-8 semanas si DMARC ya está en su sitio, 8-12 semanas desde arranque en frío con marca pendiente.
Particularidades por jurisdicción hispanohablante
España: EUIPO vs OEPM
Las dos opciones principales para empresas españolas:
EUIPO — registro válido en los 27 Estados miembros UE. Coste 850 € para una clase, 50 € adicional por clase extra (segunda clase) y 150 € por cada clase adicional. Tiempo 4-6 meses si no hay oposiciones. Aceptado por todas las CAs sin fricción.
OEPM — registro nacional España. Coste menor (typically 144 €) pero solo cubre territorio español. Para una empresa que opera solo en España y no tiene planes de expansión UE, OEPM es suficiente y más barato. Para cualquier empresa con visión europea, EUIPO es la elección racional.
Las dos están en la lista de oficinas reconocidas por las CAs.
México: IMPI
El Instituto Mexicano de la Propiedad Industrial mantiene Marcanet como buscador online. El registro completo tarda 6-12 meses incluyendo búsqueda fonética y figurativa. Para BIMI, se requiere específicamente registro figurativo (logo) o mixto, no solo denominativo (texto).
Las CAs aceptan marcas IMPI, pero la verificación puede tardar 2-3 semanas más que EUIPO porque la base de datos no está integrada automáticamente.
Argentina, Brasil, Colombia, Chile, Panamá
| País | Oficina | Tiempo registro | Aceptado por CAs |
|---|---|---|---|
| Argentina | INPI | 12-24 meses | Sí |
| Brasil | INPI Brasil | 12-18 meses | Sí |
| Colombia | SIC | 6-12 meses | Sí |
| Chile | INAPI | 6-9 meses | Sí |
| Panamá | DIGERPI | 6-9 meses | Sí |
Truquillo importante: si tu empresa LATAM opera tanto en su mercado nacional como en UE, el registro EUIPO suele ser más rápido y económico que múltiples registros nacionales. Para una empresa argentina con cliente final europeo, EUIPO entrega cobertura UE + reconocimiento global por las CAs en 4-6 meses por 850 €.
Reino Unido post-Brexit
Las marcas EUIPO ya no cubren Reino Unido. Las marcas registradas antes del Brexit fueron clonadas automáticamente al UKIPO. Para registros nuevos con audiencia UK, hace falta solicitud separada en UKIPO (~£170 plus £50 por clase adicional).
Lo que BIMI no hace
Para fijar expectativas correctamente:
BIMI no mejora placement materialmente
Los receivers tratan a senders BIMI-validados como marginalmente más confiables. La mejora real de placement es pequeña: aproximadamente 1-3% en nuestras mediciones. El valor está en la visibilidad de marca y la confianza del cliente, no en la deliverability.
BIMI no funciona en todos lados
Receivers principales que soportan: Gmail (Workspace y consumer), Yahoo, Apple Mail (iOS y macOS), Fastmail, La Poste, GMX, Onet, Comcast. Microsoft Outlook NO soporta BIMI a Q2 2026 (pregunta frecuente, respuesta decepcionante para senders con audiencia Outlook-pesada como B2B enterprise). Esto importa especialmente para empresas españolas vendiendo a corporaciones, donde Outlook domina.
BIMI no es anti-phishing por sí solo
BIMI se muestra solo cuando DMARC pasa. Los emails de phishing que consiguieran saltar DMARC (raros) tampoco mostrarían BIMI. La protección anti-phishing viene del DMARC al enforcement; BIMI solo hace visible la señal de correo legítimo.
BIMI no funciona para direcciones personales
El requisito de marca registrada implica que senders email consumer (“el negocio de pasteles de María”) no pueden conseguir VMC salvo que registren una marca, lo que hace BIMI principalmente herramienta para senders organizacionales.
Cuándo merece BIMI la pena (y cuándo no)
BIMI vale la inversión para:
- Marcas consumer-facing donde el reconocimiento de logo afecta engagement de email
- Marcas frecuentemente suplantadas en phishing (bancos, e-commerce, SaaS con usuario consumer)
- Marcas donde las señales de confianza demostradamente afectan tasas de apertura
- Marcas con postura DMARC madura que quieren señal visible de inversión en seguridad email
BIMI no merece la pena para:
- Marcas B2B-only enviando a inboxes corporativas (mayoría Outlook, sin display BIMI)
- Marcas sin marca registrada (registro + retraso supera el beneficio)
- Marcas con volumen bajo donde la tarifa €749-€1.500 anual VMC más coste de implementación es desproporcionada
- Marcas que no han hecho trabajo DMARC al enforcement (BIMI no tiene valor en p=none)
Para nuestros clientes hispanohablantes, BIMI es más valioso en:
- Bancos y fintechs españolas (alta diana de phishing, confianza de marca crítica, disciplina DMARC ya en su sitio bajo DORA)
- E-commerce consumer hispano (mejora engagement en transaccionales)
- SaaS con comunicación consumer-facing (confirmación cuenta, reset contraseña)
Para clientes B2B SaaS apuntando a comprador enterprise (mayoría Outlook), solemos recomendar saltarse BIMI a favor de invertir en monitoreo DMARC y otras señales de confianza visibles más relevantes para comprador enterprise.
Línea final
DMARC y BIMI juntos son la señal de confianza visible para senders legítimos en 2026. La implementación está bien definida. Los cuellos de botella son organizacionales (registro de marca, aprobación marketing del logo Tiny PS) más que técnicos.
Para marcas españolas e hispanohablantes, la capa de marca añade complejidad pero también es coste único: una vez registrada, la marca es tuya. Para marcas que tienen o están dispuestas a registrar marca, BIMI es inversión de marca significativa. Para marcas sin esa infraestructura, enfoca primero en DMARC al enforcement; BIMI es complemento, no sustituto.
Nuestro producto de DMARC gestionado cubre el trabajo de implementación tanto para enforcement DMARC como para activación BIMI, con la preparación SVG Tiny PS gestionada vía especialista partner y la procuración VMC vía DigiCert como CA por defecto (para mantener compatibilidad con Apple Mail).