Technical Reference · 2026 Edition

¿Qué es una Autoridad de Verificación de Marcas (MVA)? Cómo se emiten los VMC

Descubra cómo funciona el ecosistema MVA, qué Autoridades de Certificación están autorizadas para emitir Verified Mark Certificates, y por qué comprar de una CA no aprobada puede arruinar su implementación de BIMI.

Last updated min read

La cadena de certificados: ¿Qué es una Autoridad de Verificación de Marcas (MVA)?

Un Verified Mark Certificate (VMC) no lo emite cualquier Autoridad de Certificación. Para emitir VMCs, una CA debe obtener primero la designación de Mark Verifying Authority (MVA) — un estatus que solo se concede tras cumplir un riguroso conjunto de requisitos técnicos, operativos y de auditoría definidos por el AuthIndicators Working Group (comúnmente conocido como el BIMI Group).

Comprender el ecosistema MVA es fundamental antes de adquirir un VMC. Comprar de una fuente no aprobada significa que su certificado no será reconocido por Gmail, Apple Mail ni ningún otro cliente de correo compatible con BIMI — y el logotipo de su marca no aparecerá en la bandeja de entrada.


¿Qué es una Autoridad de Verificación de Marcas?

Una Mark Verifying Authority (MVA) es una Autoridad de Certificación que ha sido formalmente aprobada por el AuthIndicators Working Group para emitir VMCs. La MVA desempeña dos funciones críticas:

  1. Verificación de marca registrada — Confirma que la organización que solicita el VMC es la propietaria legítima de la marca registrada asociada al logotipo.
  2. Emisión de certificados — Emite un VMC firmado criptográficamente que vincula la marca verificada con un archivo de logotipo SVG y un dominio.

Los receptores de correo como Google y Apple solo confían en los VMCs emitidos por MVAs aprobadas. Si un certificado es emitido por una CA fuera de esta lista aprobada, toda la aserción BIMI falla silenciosamente — no se muestra ningún logotipo y no se notifica ningún error al remitente.


MVAs aprobadas a partir de 2025

El AuthIndicators Working Group mantiene la lista oficial de MVAs aprobadas. A partir de 2025, tres Autoridades de Certificación tienen estatus de MVA:

| MVA | Notas | |---|---| | DigiCert | Primera MVA aprobada; emite VMCs bajo la marca DigiCert | | Sectigo | Emite VMCs; históricamente fuerte en S/MIME y firma de código | | GlobalSign | Emite VMCs; fuerte presencia en PKI empresarial |

Importante: Esta lista cambia a medida que nuevas CAs completan el proceso de aprobación. Verifique siempre el estatus actual de MVA en el AuthIndicators Working Group antes de comprar.

Cómo una CA se convierte en MVA

El proceso de aprobación es deliberadamente exigente. Una CA debe satisfacer todos los requisitos siguientes antes de que el BIMI Group le otorgue el estatus de MVA.

1. Publicar una Declaración de Prácticas de Certificación (CPS)

La CA debe publicar una Declaración de Prácticas de Certificación — un documento público detallado que describe exactamente cómo emite, gestiona, revoca y renueva VMCs. La CPS debe abordar específicamente los procedimientos de emisión de VMCs y los flujos de trabajo de verificación de marcas registradas.

2. Registrar en logs de Certificate Transparency (CT)

Cada VMC emitido debe enviarse a logs de Certificate Transparency — registros públicamente auditables y de solo adición de todos los certificados emitidos. Esto permite a los receptores de correo, investigadores y propietarios de dominios detectar certificados emitidos incorrectamente o fraudulentos.

3. Establecer infraestructura de revocación de certificados

La CA debe operar y mantener Listas de Revocación de Certificados (CRLs) — o respondedores OCSP equivalentes — para que los VMCs comprometidos o emitidos incorrectamente puedan revocarse rápidamente. Los receptores de correo verifican el estado de revocación antes de mostrar un logotipo.

4. Someterse a auditorías WebTrust VMC

La CA debe encargar y aprobar una auditoría WebTrust para VMC realizada por un auditor externo acreditado. Las auditorías WebTrust evalúan si las prácticas reales de la CA coinciden con su CPS publicada. Estas auditorías se repiten anualmente, creando una carga de cumplimiento continua.

5. Registrarse en la CCADB

La CA debe estar registrada en la Common CA Database (CCADB) — el repositorio compartido utilizado por Mozilla, Microsoft, Apple y Google para rastrear Autoridades de Certificación de confianza. El registro en CCADB es un requisito previo para cualquier CA que busque la confianza de los principales proveedores de plataformas.


Por qué los VMCs cuestan $1,000 o más

La infraestructura de cumplimiento descrita anteriormente es costosa de construir y mantener. Cada MVA aprobada debe:

  • Financiar auditorías WebTrust anuales (típicamente decenas de miles de dólares por ciclo de auditoría)
  • Operar pipelines de envío a logs CT de alta disponibilidad
  • Mantener infraestructura CRL y OCSP 24/7
  • Contar con equipos de verificación de marcas capaces de validar la titularidad de PI en registros de marcas globales
  • Mantener el registro en CCADB y responder a cambios de políticas de proveedores de navegadores y plataformas de correo

Estos costos se trasladan a los compradores. Un VMC con un precio inferior a la tarifa de mercado de $1,000–$1,500 por año debe considerarse una señal de alerta — puede indicar que la CA emisora no ha completado el proceso completo de aprobación como MVA.


Por qué esto importa cuando compra un VMC

Solo las MVAs aprobadas producen certificados aceptados

Gmail y Apple Mail validan toda la cadena de certificados antes de mostrar un logotipo BIMI. Si la CA emisora no está en la lista de MVAs aprobadas, la validación de la cadena falla y no se muestra ningún logotipo. No hay alternativa, no hay advertencia y no hay visualización parcial.

Las MVAs están obligadas a confirmar la titularidad de la marca a través de registros oficiales de marcas (USPTO, EUIPO, WIPO y otros). Este paso protege tanto el ecosistema de correo como su marca. Un VMC emitido sin la verificación adecuada de marca registrada no es conforme y puede ser revocado.

La revocación puede ocurrir en cualquier momento

Si una MVA descubre que un certificado fue emitido incorrectamente — o si el registro de su marca caduca — el VMC puede ser revocado. Debido a que los receptores de correo verifican el estado de revocación casi en tiempo real, un VMC revocado causa la desaparición inmediata del logotipo en todas las bandejas de entrada.


Puntos clave

  • El estatus de MVA lo otorga el AuthIndicators Working Group, no lo autodeclara una CA.
  • Tres MVAs están actualmente aprobadas: DigiCert, Sectigo y GlobalSign.
  • El proceso de aprobación requiere una CPS publicada, registro en CT, infraestructura CRL, auditorías WebTrust y registro en CCADB.
  • El alto precio de los VMCs refleja costos de cumplimiento genuinos — no márgenes arbitrarios.
  • Verifique siempre el estatus de MVA antes de comprar. Un certificado de una CA no aprobada no funcionará con Gmail ni Apple Mail.

Próximos pasos

Antes de adquirir un VMC, asegúrese de que su base BIMI esté implementada:

  1. Aplicación de DMARC — Su dominio debe tener una política DMARC de p=quarantine o p=reject.
  2. Cumplimiento del logotipo SVG — Su logotipo debe cumplir con el perfil BIMI SVG Tiny P/S.
  3. Registro de marca — Su logotipo debe estar registrado como marca en una jurisdicción reconocida por la MVA que elija.

Comience con makeBIMI.com y veriBIMI.com

  • makeBIMI.com — Convierta su logotipo a un archivo SVG Tiny PS compatible con BIMI de forma gratuita, y ejecute una auditoría DMARC completa en su dominio antes de solicitar un VMC.
  • veriBIMI.com — Intermediación de VMC agnóstica de CA para equipos empresariales. Compare precios y tiempos de emisión entre todas las MVAs aprobadas — DigiCert, Sectigo y GlobalSign — desde una única plataforma, sin dependencia de proveedor.