Quando você usa um ponto de acesso Wi-Fi inseguro, seus pacotes são enviados sem criptografia. Isso significa que qualquer pessoa que possa definir seu cartão Wi-Fi no modo de monitoramento poderá farejar e capturar todo o tráfego (que significa TODO o tráfego de TODOS no ponto de acesso Wi-Fi) que passa por esse ponto de acesso Wi-Fi. O software para fazer isso requer alguma proeza técnica, e você precisa de um adaptador Wifi que suporte o modo de monitoramento, mas não é super difícil.
Quando você usa um ponto de acesso Wi-Fi seguro, seus pacotes são criptografados. WEP é super fácil de quebrar usando ferramentas. WPA é possível quebrar, e WPA2 é difícil de quebrar (deve ser bruto forçado AFAIK). Portanto, ninguém que não esteja na rede Wi-Fi pode farejar e capturar tráfego.
Se você usa uma VPN ou acessa um site via HTTPS, a transmissão entre você e o site é criptografada. Se você fizer isso em uma rede sem fio desprotegida, alguém que esteja capturando tráfego verá apenas o texto cifrado. Se eles souberem alguma coisa sobre as chaves, senhas ou certificados envolvidos, eles poderão descriptografar o tráfego posteriormente. A descriptografia de uma captura desse tráfego está envolvida e é difícil, e pode ser praticamente impossível se você estiver usando uma VPN com criptografia strong e senhas ou chaves privadas suficientes.
Agora, é possível executar software em um ponto de acesso Wifi ou em um dispositivo imediatamente após o ponto de acesso, mas antes do roteador que ele usa para conectividade com a Internet, para capturar todo o tráfego que chega após a rede sem fio. A criptografia sem fio não pode evitar isso. Isso é moderado a difícil, mas eu duvido que a maioria das pessoas na maioria dos pontos públicos de Wi-Fi esteja capturando e analisando o tráfego, mas certamente é possível.
No entanto, se você estiver usando uma VPN ou acessando sites via HTTPS, você estará protegido da mesma maneira descrita acima.