Un sombrero gris es un especialista en seguridad informática que actúa como un pirata informático en un intento de penetrar la seguridad de un sistema o red en particular. Este tipo de pirata informático suele ser alguien que no realiza dicha actividad en un esfuerzo por ser malicioso, sino que utiliza estos ataques como investigación. Si se encuentra una falla en la seguridad de la red, entonces este tipo de pirata informático generalmente informa a los propietarios de esa red o sistema para instruirlos sobre la naturaleza de la falla. Sin embargo, un sombrero gris no es alguien autorizado para intentar piratear un sistema, por lo que sus actividades pueden ser ilegales.
El término «sombrero gris» se deriva del uso de los términos «sombrero negro» y «sombrero blanco» dentro de la comunidad de hackers y seguridad informática. Los tres términos se refieren a un tipo de pirata informático, una persona que utiliza programas informáticos y varios métodos para intentar burlar la seguridad de una red o sistema informático. Un sombrero blanco es un pirata informático empleado por una empresa u organización y autorizado para intentar piratear el sistema de ese grupo para buscar fallas o riesgos de seguridad. En contraste con esto, un hacker de sombrero negro es alguien que piratea sistemas sin autorización y con intenciones maliciosas.
Un sombrero gris es un hacker que se encuentra en algún lugar entre estos dos grupos. Esto significa que normalmente piratea sistemas a los que no está autorizado a acceder, lo que hace que dicha piratería sea potencialmente ilegal. Si el hacker de sombrero gris encuentra una falla de seguridad o un problema similar, entonces normalmente notifica a la empresa u organización sobre esta falla para que se pueda mejorar la seguridad. Sin embargo, la forma exacta en que el pirata informático notifica al grupo puede variar, ya que algunas empresas pueden emprender acciones legales contra el pirata informático de sombrero gris.
Este tipo de notificación generalmente da como resultado que un hacker de sombrero gris elija dentro del espectro de divulgación completa y uso privado. La divulgación completa se refiere a la notificación al público en general sobre una falla de seguridad, incluidos los posibles piratas informáticos y la empresa que tiene la falla. En contraste con esto, el uso privado incluiría a los piratas informáticos de sombrero negro que encuentran un defecto y luego no notifican a la empresa al respecto para utilizar la información con fines privados, a menudo maliciosos. Un hacker de sombrero gris generalmente elige actuar de una manera entre estas dos opciones, notificando a la organización sobre las fallas que tiene, antes de divulgar información al público en general.