Un sombrero gris es un especialista en seguridad informática que actúa como hacker en un intento de penetrar la seguridad de un sistema o red en particular. Este tipo de pirata informático suele ser alguien que no realiza dicha actividad en un esfuerzo por ser malicioso, sino que utiliza estos ataques como investigación. Si se encuentra una falla en la seguridad de la red, este tipo de pirata informático generalmente informa a los propietarios de esa red o sistema para instruirlos sobre la naturaleza de la falla. Sin embargo, un sombrero gris no es alguien autorizado para intentar piratear un sistema, por lo que sus actividades pueden ser ilegales.

El término "sombrero gris" se deriva del uso de los términos "sombrero negro" y "sombrero blanco" en la comunidad de seguridad informática y piratas informáticos. Los tres términos se refieren a un tipo de pirata informático, una persona que utiliza programas informáticos y varios métodos para intentar eludir la seguridad de una red o sistema informático. Un sombrero blanco es un hacker empleado por una empresa u organización y autorizado para intentar hackear el sistema de ese grupo para buscar fallas o riesgos de seguridad. En contraste con esto, un hacker de sombrero negro es alguien que piratea sistemas sin autorización y con intención maliciosa.

Un sombrero gris es un hacker que cae en algún lugar entre estos dos grupos. Esto significa que él o ella normalmente piratea sistemas a los que no está autorizado para acceder, lo que hace que dicha piratería sea potencialmente ilegal. Si el pirata informático del sombrero gris encuentra una falla de seguridad o un problema similar, entonces él o ella generalmente notifica a la compañía u organización sobre esta falla para que la seguridad pueda mejorarse. Sin embargo, la forma exacta en que el pirata informático notifica al grupo puede variar, ya que algunas empresas pueden emprender acciones legales contra el pirata informático de sombrero gris.

Este tipo de notificación generalmente da como resultado que un hacker de sombrero gris elija dentro del espectro de divulgación completa y uso privado. La divulgación completa se refiere a la notificación al público en general sobre una falla de seguridad, incluidos los posibles piratas informáticos y la empresa que tiene la falla. En contraste con esto, el uso privado incluiría a los piratas informáticos de sombrero negro que encuentren una falla y luego no notifiquen a la compañía para que use la información con fines privados, a menudo maliciosos. Un hacker de sombrero gris generalmente elige actuar de una manera entre estas dos opciones, notificando a la organización sobre los defectos que tiene, antes de divulgar información al público en general.