Por lo general, Wi-Fi (incluso con contraseña) se configura como una seguridad equivalente a una red cableada abierta (se conecta a la red, se supone que se supone que está en ella).
Toda la comunicación por cualquier parte en la red es completamente visible. La seguridad se puede aplicar en la parte superior de la comunicación no segura, pero una red con cables abiertos casi no tiene seguridad integrada (aparte de poder conectarse físicamente a los cables).
Algunos conmutadores de paquetes de redes cableadas, donde solo se le envían los paquetes que se supone que debe ver. Las redes wifi no son tan seguras, son tan seguras como las redes cableadas que envían cada paquete a todos (lo que no es muy).
Otros usuarios en una red de este tipo pueden ver fácilmente y modificar, con cierta dificultad, los datos que transfiere a través de protocolos no cifrados.
Ahora, en la parte superior de la capa de red, puede tener una capa segura; con buenos protocolos, la inseguridad de la capa de red no importará (mucho: la capa de red todavía podría negar el servicio).
La comunicación a través de un protocolo seguro seguirá siendo privada.
Sin embargo, las búsquedas de DNS no son tan privadas. DNSsec proporciona la autenticación de origen de los datos DNS, pero no la confidencialidad. Entonces, incluso a través de https, alguien en su red abierta por cable (o wifi equivalente) puede decirle qué sitios web está visitando. Con https, no verán lo que estás viendo, pero sabrán qué sitios web.
Existen protocolos seguros similares para correo electrónico y otros servicios; a menudo, el lugar al que se está conectando es público, pero lo que comunica es privado.
Si instala algo como Tor, o usa una VPN segura, puede hacer que la falta de privacidad en su wifi no sea importante.
No sé el estado de seguridad de los mensajes de Facebook. Pero, suponiendo que los ingenieros sean competentes (el cifrado / la seguridad es difícil, por lo que no está garantizado), es probablemente tan seguro como https, donde el hecho de que esté utilizando mensajes de Facebook es público, pero no se sabe qué ya quién lo envía. .
Además de lo anterior, si tienen acceso a tu wifi, podrían intentar algunos ataques de intermediario; cosas como el protocolo de degradación a un protocolo más fácil de romper. Esto es relativamente avanzado, se puede mitigar actualizando el cliente (su navegador web) o el servidor (para negarse a proporcionar conexiones de protocolo inseguras), y no es tan pasivo como lo que se puede recopilar sobre las conexiones inseguras.
La forma fácil de mitigar esto es configurar un wifi de invitado. Con una configuración deficiente, podrían hacer algunas travesuras, pero el nivel de sofisticación pasa de "relativamente fácil" (la mayoría de los anteriores) a "sería más fácil para ellos hackear su enrutador".
Hay redes wifi que proporcionan niveles de seguridad de "conmutación de paquetes" (o mejor) (como WPA2 Enterprise). Probablemente no estés usando uno.