Certificados de Marca Verificada (VMC)

Uno de los grandes problemas con el correo es el phishing, donde en muchos casos se suplanta la identidad de una empresa conocida (un banco, empresa de hosting, etc.) para guiarte a una página donde puedan obtener tus credenciales, información de tu tarjeta, etc.

Los Certificados de Marca Verificada (VMC por sus siglas en inglés) representan un esfuerzo adicional para tratar de identificar al remitente y evitar que puedas considerar como válidos correos fraudulentos.

Para el usuario, se traducirá en que se mostrará una imagen de la marca asociada al remitente en los correos electrónicos.

Así se vería en Gmail el logotipo de "Bank of America" antes y después de BIMI.
Vía https://www.oppidumsecurity.com/blog/bimi-un-sceau-sur-vos-e-mails
Imagen del blog de Oppidum Security: logo de “Bank of America” con y sin BIMI

Qué son los Certificados de Marca Verificada (VMC)

Los VMC técnicamente son como un certificado de tipo EV (ver “Tipos de certificados de seguridad”) con algunas validaciones extra:

  • Hay que confirmar que la marca de la empresa y de la imagen que usemos están legalmente registradas.
  • Proporcionar copias notariales de los documentos de identidad que confirmen la identidad de la persona de la organización que solicita el VMC.
  • Una entrevista personal o por vídeo llamada con la Autoridad Certificadora para confirmar que, efectivamente esos documentos son reales y asociados a la persona que solicita el certificado

Nadie dijo que fuera sencillo. Y todo ello para mostrar una imagen al lado del remitente de correo, una imagen verificada, certificada y controlada por la marca, tal y como indica la especificación BIMI (Brand Indicators for Message Identification). Porque aquí está la gracia: en asegurarse de que la imagen que aparece se corresponde con la marca y es ella quien la controla.

Qué es BIMI (Brand Indicators for Message Identification)

Cito:

Los indicadores de marca para la identificación de mensajes o BIMI (por sus siglas en inglés) son una especificación emergente para el correo electrónico que permite el uso de logotipos controlados por la marca en los clientes de correo electrónico compatibles. BIMI aprovecha el trabajo que una organización ha realizado para desplegar la protección DMARC, llevando los logotipos de las marcas a la bandeja de entrada del cliente. Para que el logotipo de la marca se muestre, el correo electrónico debe pasar las comprobaciones de autenticación DMARC, garantizando que el dominio de la organización no ha sido suplantado.

BIMI Group

Y aquí aparece otro concepto sobre el que sustentar BIMI: DMARC.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

El protocolo DMARC (Domain-based Message Authentication, Reporting & Conformance) nos añade un nivel adicional de seguridad en el envío de los correos; es un indicador para decir si he otorgado o no permisos a un servidor para que envíe correos en nombre de un dominio que gestiono, un mecanismo de autenticación de correo electrónico diseñado para otorgar a los propietarios de dominios de correo electrónico la capacidad de proteger su dominio frente a su uso no autorizado. Cuando se recibe un correos, el servidor autentica el mensaje entrante de correo electrónico según las instrucciones publicadas por el propietario del dominio dentro de la entrada DNS. Si el correo electrónico pasa el proceso de autenticación, se entregará y se puede confiar en él. Si falla la verificación, el mensaje de correo electrónico podría ser entregado, puesto en cuarentena o rechazado (según las indicaciones del registro DMARC).

Aunque hay varios conceptos mezclados, muchos de ellos ya se están utilizando de forma habitual (como DMARC o el solicitar un certificado) y el resto es más laborioso que complicado. Baste la siguiente checklist para resumir el proceso.

Checklist para utilizar VMC y BIMI

  1. El dominio desde el que envíes los correos debe tener implementado DMARC con “p=quarantine” o “p=reject”.
  2. El logotipo que utilices debe estar registrado, debe ser una marca registrada
  3. El logotipo que se muestre y al que enlaces, debe ser SVG… pero no cualquiera, debe ser SVG Portable/Secure (SVG-P/S).
  4. Obtén el Certificado de Marca Verificada (VMC) para el dominio.
  5. Indica la entrada DNS de tipo TXT para referenciar los distintos elementos que será la que busquen los proveedores de correo que soporten BIMI:
    default._bimi.[domain] IN TXT “v=BIMI1; l=[SVG URL]; a=[PEM URL]

BIMI es un protocolo relativamente nuevo y hay algunos proveedores de correo importantes que, al menos por ahora, no lo utilizan, notablemente Microsoft y Yahoo. Puedes ver en la página de BIMI Group quienes están adheridos y usando la iniciativa.

Referencias y enlaces

  • BIMI Group. Especificaciones del protocolo BIMI y algunos recursos para crear los registros, archivos SVG, etc.
  • Digicert VMC. Por ahora son, junto con Entrust, la única CA que ofrece VMC.

Mis lecturas de junio 2021

Tirando de autores clásicos (más o menos)…

Las cosas – Georges Perec

Respeto siempre a Oulipo, pero de este libro (que es referencia) lo que más me ha gustado es ver la cara del escritor, que no lo reconocía.

El libro en sí se me ha hecho terríblemente pesado y repetitivo, sobre todo la primera parte, de hecho la segunda parte parece un “vamos a ver si le damos a esto un meneo”.

He cumplido, pero no creo que repita libros de Monsieur Perec (bueno, igual sí).

En TTL En Amazon

Noticias del Antropoceno – José María Merino

El último libro de cuentos de José María Merino con temas de actualidad (los problemas que causa el hombre al planeta y a sí mismo), pero que me han dejado bastante frío.

Quizá demasiado bienintencionados, quizá demasiados previsibles. Quizá, quizá, quisás.

En TTL En Amazon

Mis lecturas de mayo 2021

El mes de “vamos a terminar libros tochos” y en el que he aprendido que no debo coger “cuentos completos” de nadie, nunca.

El color amaranto – Antonio Ferres

Me lo cogí recomendado y se ha hecho bola. Mucho. No sé si, simplemente, los cuentos no han envejecido bien, no he sido capaz de entender muchos de ellos o una combinación de todo ello y mucho más.

Lo que tiene mérito es que utilice la ciencia ficción para hablar de la Guerra Civil española. No porque no se pueda, sino porque es una herida que claramente le está supurando cuando escribió esas historias.

En TTL En Amazon

Escritura y verdad. Cuentos completos – Medardo Fraile

Venga a oír hablar de Medardo Fraile y yo sin leer nada de él. Problema resuelto.

Medardo Fraile escribe cuentos blancos, cortos, muy cortos, sutiles y finos. Ha sido un placer leerlos, incluso aquellos que sí que han envejecido mal al usar jerga barriobajera.

Si te gusta el cuento, Medardo es uno de los imprescindibles que debes leer.

En TTL En Amazon

Al final siempre ganan los monstruos – Juarma

En la contraportada ponen que es “Trainspotting en un pueblo de Graná” y así mismo es. Drogas a cascoporro, relaciones de pareja, drogas, violencia, alguna raya, algún porrito, ternura y por encima de todo la amistad de los cinco personajes principales desde la infancia hasta que van cayendo como moscas por culpa de… las drogas, claro.

No hace falta ir a Villa de la Fuente para encontrarte con estos fulanos, sabes quienes son y como se llaman. Si quieres mirarles por un agujerito para ver lo que hacen y por qué lo hacen mientras tú te vas a casa a leer o ver una peli, echa un ojo al libro.

En TTL En Amazon

Lo pasado no es un sueño – Theodor Kallifatides

Una joyita, un tesoro, un libro que he leído muy a gusto. En el libro Kallifatides nos cuenta sus recuerdos de infancia, como era su Grecia de la niñez, su familia, sus relaciones, como crece y se enamora, como tiene que emigrar a Suecia y regresa a su casa para dar conferencias, reencontrarse con sus padre, con su hermano y amigos.

El libro está escrito de forma sencilla y añadiendo algunas frases demoledoras.

Un descubrimiento.

En TTL En Amazon

Mis lecturas de abril 2021

Bueeeno… el mes de las aguas y tal.

La vida de las luciérnagas – Virginia Ruiz / Raquel Marín

Es un libro infantil/juvenil en el que se recrea e ilustra la vida de 13 riojanas ilustres. Está editado por el Ayuntamiento de Logroño.

En TTL

El día del ajuste – Chuck Palahniuk

Con los libros de Palahniuk siempre puedes decir que has leído algo diferente. Me maravilla la capacidad que tiene para hacer algo distinto (o eso me parece a mí). No siempre me gustan sus novelas, pero sí sus planteamientos, la historia, y eso que no he leído “El club de la lucha” (1996).

“El día del ajuste” no creo que sea su novela más lograda, pero ahí están todos los elementos habituales de sus novelas (de las que he leído al menos) llevadas a gran escala (nada menos que hacerse con el poder en los E.U.A.) por los perdedores de la sociedad.

Hazte un favor, lee a Palahniuk.

En TTL En Amazon

La felicidad de los ogros – Daniel Pennac

Ha sido un buen mes con un gran descubrimiento: “La felicidad de los ogros”. Por una vez las promesas de la contraportada se han cumplido y me lo he pasado estupendamente leyendo este libro ¿policíaco?

Malaussène trabaja como “chivo expiatorio” en unos grandes almacenes parisinos. Si un comprador se queja de una mercancía defectuosa o de un fallo técnico, Malaussène aguanta la bronca y las amenazas de despido hasta que el cliente, compadecido, retira su reclamación.

En los almacenes empiezan a explotar bombas en presencia de Malaussène, que pasa a ser sospechoso, y mientras hace equilibrios para mantener el orden en una familia peculiar y extraña de la que, como hermano mayor, es el responsable.

Veo que hay una serie sobre Malaussène… no soy muy de series, pero quién sabe. Es un libro divertido y muy ameno.

En TTL En Amazon

El Tesoro de EE.UU. puede impedirte registrar un dominio o contratar un certificado

Hay una serie de motivos curiosos por las que te pueden denegar el registro de un nombre de dominio o un certificado SSL. Quizá no te haya tocado, pero si solicitas un certificado que contenga el nombre de alguno de los países que estén en la lista negra del gobierno de los EUA, seguramente te lo denieguen. Si vendes alfombras persas y tu negocio se llama alfombrasdeiran.com date por fastidiado si vas a pedir un certificado a alguna empresa estadounidense, como puede ser Digicert (Thawte, Geotrust…). Es más, depende de la extensión, puedes tener problemas también a la hora de solicitar el propio dominio, por ejemplo si el titular es de Irán y quiere pedir un .info, gestionado por Afilias, recién comparada por Donuts Inc.

Todas las empresas estadounidenses, incluidas los registries o las Autoridades Certificadoras, están obligadas a cumplir las leyes de EUA, y esto incluye las sanciones y limitaciones a las que obliga la OFAC (Office of Foreign Assets Control – Oficina de Control de Activos Extranjeros)

[…] we are not permitted to provide services to, nor engage in any transactions with countries, regions, entities, or individuals targeted by applicable US trade sanctions (OFAC listings), whether directly or indirectly, unless authorized under applicable laws.

De hecho, la propia ICANN es una empresa estadounidense, aunque desde el 6 de enero de 2017, se finaliza el último acuerdo formal con el Gobierno de Estados Unidos (ver «La relación entre la ICANN y el Gobierno de Estados Unidos»).

Lo dicho, curioso.