Estimado responsable de TI, actúe ahora. El departamento de marketing y el responsable de seguridad pronto estarán tras usted. 😉
Quizás no sea exactamente así todavía, pero detrás de este llamativo titular se esconde una verdad parcial. BIMI (Brand Indicators for Message Identification) es la última medida de seguridad para el correo electrónico, como continuación de DMARC, DKIM y SPF. Ha ido ganando terreno poco a poco y los principales proveedores de correo electrónico como Google, Yahoo y Apple ya lo admiten. Es posible que tengamos que esperar un poco más para que Microsoft se una, pero cuando llegue, los departamentos de TI podrían tener prisa, ya que las organizaciones querrán implementarlo con urgencia.
¿Qué es BIMI?
BIMI (Brand Indicators for Message Identification) es una tecnología de autenticación de correo electrónico que ayuda a las organizaciones a verificar la autenticidad de los mensajes de correo electrónico. BIMI funciona junto con DKIM, SPF y DMARC para proteger los dominios de correo electrónico contra actores maliciosos que intentan enviar correos electrónicos falsificados en nuestro nombre.
Con BIMI, las organizaciones pueden añadir su logotipo de marca junto a los mensajes de correo electrónico en la bandeja de entrada del destinatario. Esto ayuda a los destinatarios a identificar que el correo electrónico procede de esa marca o empresa en particular. Esto aumenta la confianza y mejora las tasas de apertura de correos electrónicos, ya que los destinatarios pueden distinguir fácilmente que el mensaje proviene realmente de la fuente que afirma ser en el mensaje. La imagen de ejemplo a continuación muestra cómo se ve BIMI en la práctica. El mensaje enviado por el servicio LinkedIn tiene su logotipo reconocible. Además, Gmail muestra una etiqueta azul de «verificado», que permite al destinatario confirmar el origen del mensaje.
No es posible falsificar BIMI de manera que una entidad pueda utilizarlo para enviar mensajes maliciosos en nombre de otra organización y con sus logotipos.
Implementación de BIMI
Uno de los requisitos para implementar BIMI es que la configuración de DMARC esté establecida en modo «quarantine» o «reject». Si DMARC no está activado o está en modo de informe (p=none), la autenticación BIMI tampoco funcionará. Una razón más para implementar DMARC en su totalidad. Escribí sobre DMARC el año pasado en el artículo del blog «Seguridad de la comunicación parte 1» y se puede leer aquí.
Lo segundo que se necesita para BIMI es un certificado. Hay dos tipos de certificados. El VMC (Verified Mark Certificate) es más fuerte y requiere una marca registrada para obtenerlo. El CMC (Common Mark Certificate) está disponible para todas las organizaciones, pero su autenticación no es tan fuerte como la del VMC. Los certificados se pueden obtener de Digicert y Entrust. Su precio oscila entre 1200 y 1600 euros al año. Los certificados VMC son ligeramente más caros que los CMC.
Resumen
La idea de BIMI de proporcionar al destinatario una fácil identificación del origen del mensaje me parece excelente. También desde el punto de vista de la marca, la inclusión del logotipo en los mensajes es sin duda una característica atractiva para diferentes partes, como los departamentos de ventas y marketing de las organizaciones. Sin embargo, el desafío de BIMI son sus requisitos en cuanto al registro de marcas. Con los certificados CMC, BIMI puede funcionar, pero los diferentes servicios de correo electrónico pueden tratar su fiabilidad de manera diferente. Sin embargo, espero con interés ver cómo se desarrollará BIMI y ganará popularidad. Tiene los ingredientes para ello.
Aunque la implementación de BIMI puede no ser relevante en este momento, en Finlandia debemos prestar atención a la fiabilidad de las comunicaciones implementando DMARC. En Finlandia, solo alrededor del 50% de todas las organizaciones lo han implementado. Por lo tanto, hay trabajo por hacer para protegernos contra el uso indebido de nuestros dominios de correo electrónico.
Si tiene preguntas sobre la fiabilidad de las comunicaciones, póngase en contacto con nosotros a continuación y hablemos más.