Tal vez por envenenamiento del caché de la DNS que en este caso se lo está proporcionando la VPN, que es basicamente lo que hace TOR y que aunque es muy seguro, al mismo tiempo lo hace tan peligroso: quien controla el nodo de salida, controla el tráfico (si quiere una explicación dramática, véase el primer capítulo de Mr Robot: eso es lo que le hace Elliot al tipo del restaurante que vendía pornografía infantil).
Para evitar ataques MITM algunos bancos en colombia ya emiten certificados con validación extendida (no es sólo el candadito en el espacio de la URL, ahora es todo el bloque que cambia de color).
Otra cosa que uno puede hacer es también chequear los fingerprints de los certificados con y sin VPN y compararlos, aunque esto ultimo debe tomarse con precaución en redes grandes como Facebook y Whatsapp ya que la VPN lo va a sacar por un nodo en Europa por ej. y sin VPN usted va a salir en USA y seguramente FB o WS lo autentiquen en servidores distintos.
